SandStorm-Gruppe mit neuem Werkzeug: Kapeka
Mindestens seit Mitte 2022 wurde eine maßgeschneiderte Hintertür bei Cyberangriffen in Osteuropa, unter anderem in der Ukraine und in Estland ausgenutzt. Allerdings wurde sie erst 2024 offiziell entdeckt. In einem am 14. Februar 2024 veröffentlichten Security Intelligence-Bericht bezeichnete unter anderem Microsoft diese neue Hintertür als „KnuckleTouch“ und schrieb sie einer Gruppe von Bedrohungsakteuren namens SeaShell Blizzard zu, was auch der Name der berüchtigten Sandstorm-Gruppe ist.
In ihrer jüngsten Analyse hat beispielsweise das finnische Unternehmen WithSecure dieselbe Backdoor nun mit dem Namen „Kapeka“ (“kleiner Storch” auf Russisch) bezeichnet und diese Backdoor ebenfalls der russischen APT Sandworm zugeschrieben. Diese Untersuchung ist inzwischen von Mandiant als APT-44 bestätigt worden.
SandStorm-Gruppe ist eine russische Advanced Persistent Threat (APT)-Gruppe
Bei der Sandstorm-Gruppe handelt es sich also um eine russische Advanced Persistent Threat (APT)-Gruppe, die von der Militäreinheit 74455, einer Cyberkriegseinheit des russischen Militärgeheimdienstes (GRU), betrieben wird. Weitere Namen, die dieser Gruppe zugeschrieben werden, sind unter anderem Telebots, Voodoo Bear, IRIDIUM, Seashell Blizzard und Iron Viking. Ihre Aktivitäten wurden 2014 bekannt, als sie eine Zero Day-Schwachstelle in Microsoft Office-Dokumente ausnutzten, die Windows-Versionen von Vista bis 8.1 betraf. Seitdem war Sandworm an verschiedenen Cyberangriffen und Cyberspionageaktivitäten beteiligt, wobei die Ukraine ihr Hauptziel war. Zu den bemerkenswerten Vorfällen gehören wiederholte Angriffe auf das ukrainische Stromnetz in den Jahren 2015, 2016 und 2022, mit dem Ziel, einen Stromausfall in der Ukraine zu verursachen.
Die komplexe Funktionalität von Kapeka, die von der Initialisierung und C2-Kommunikation bis zur Ausführung von Aufgaben und Persistenzmethoden reicht, erfordert eine umfassende Erkennungsstrategie. Darüber hinaus ist auch ein Incident Response-Plan wichtig, um eine Infektion schnell zu beheben. Unternehmen können ihre Abwehr gegen Kapeka und andere bösartige Programme stärken, indem sie hochentwickelte Bedrohungsdaten nutzen, effektive Protokollierungs- und Überwachungslösungen wie die Logpoint Converged SIEM-Plattform installieren und regelmäßige Sicherheitsüberprüfungen durchführen.
Mehr lesen Sie hier.
