▾ G11 Media: | ChannelCity | ImpresaCity | SecurityOpenLab | Italian Channel Awards | Italian Project Awards | Italian Security Awards | ...

Backdoor Kapeka usata dal gruppo Sandworm almeno dal 2022

Una ricerca di WithSecure porta alla luce il malware backdoor Kapeka usato dal gruppo APT russo Sandworm contro obiettivi in Europa orientale almeno dal 2022.

Tecnologie/Scenari

Da febbraio 2022 Sandworm è un nome che fa paura. Legato a doppio filo con la Russa e ritenuto chiaramente colluso con il Direttorato Principale dello Stato Maggiore delle Forze Armate della Federazione Russa (GRU), questo nome richiama alla mente alcuni degli attacchi più devastanti sferrati contro l’Ucraina all’inizio del conflitto armato. Lo scorso anno le attività di Sandworm hanno riscosso meno clamore mediatico, ma questo non significa che siano terminate o rallentate. Il gruppo ha continuato a usare malware wiper distruttivi, ha messo in campo nuove tattiche e tecniche di attacco. E, si apprende adesso, è stato attivo anche nel campo dello spionaggio.

A rilevarlo è uno studio condotto dai ricercatori di WithSecure, che ha portato alla luce una nuova backdoor utilizzata nel corso di attacchi cyber in Europa orientale, a partire almeno dal 2022. Sappiamo che le operazioni di espionage per loro natura sono silenti e sovente vengono scoperte solo anni dopo il loro inizio. Questo caso non è differente: un malware, chiamato Kapeka e collegato al gruppo Sandworm, è stato probabilmente utilizzato in attacchi mirati contro aziende in tutta l'Europa centrale e orientale dall'invasione dell'Ucraina nel 2022.


I ricercatori spiegano che Kapeka è una backdoor flessibile con tutte le funzionalità necessarie per servire come toolkit iniziale per i suoi operatori, oltre a fornire accesso a lungo termine all'infrastruttura target. Che questo strumento malevolo sia stato usato da un attore APT è testimoniato da un uso sapiente, che ha portato ad avvistamenti sporadici e a un elevato livello di furtività e sofisticazione, che solo gli APT posseggono. Gli obiettivi occidentali che nel conflitto sostengono attivamente l’Ucraina chiudono il cerchio sull’identikit dell’operatore dietro a Kapeka, che si muove in conseguenza degli avvenimenti della guerra Russia-Ucraina.

Mohammad Kazem Hassan Nejad, Ricercatore di WithSecure Intelligence, spiega poi che l’analisi del malware ha inoltre permesso di appurare che Kapeka è un “tool su misura utilizzato in attacchi a raggio limitato, che presenta alcune sovrapposizioni con GreyEnergy, un altro toolkit collegato a Sandworm, rafforzando la sua associazione con il gruppo e evidenziando possibili implicazioni per le entità mirate nella regione”.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di SecurityOpenLab.it iscriviti alla nostra Newsletter gratuita.
Rimani sempre aggiornato, seguici su Google News! Seguici

Notizie correlate

Speciali Tutti gli speciali

Speciale

Previsioni per la cybersecurity del 2025

Speciale

Digitalizzazione e cybersecurity

Reportage

Cybertech Europe 2024

Speciale

Identity security

Speciale

Infosecurity Europe 2024

Calendario Tutto

Dic 19
Webinar v-valley : Barracuda: the power of Choice
Gen 21
Palo Alto Networks Partner Xchange Milano
Gen 23
Nutanix Cloud Day Roadshow - Bari
Giu 05
MSP Day 2025

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter