フィンランドのWithSecure(ウィズセキュア)は4月18日、同社のリサーチチームが主に東欧のターゲットに対して使用したとみられる新しいバックドアマルウェアを発見し、「Kapeka」と名付けたことを発表した。同マルウェアは2022年半ばにはすでに使用されており、ロシア連邦軍総参謀本部(GRU)が運営する、ウクライナへの破壊的な攻撃で知られる「Sandworm」と呼ばれるサイバー攻撃グループとの関連性があると考えられるという。

Kapekaの概要

Kapekaは、使用する攻撃者に初期段階のツールキットとして必要なすべてを備えているほか、ターゲットの資産への長期にわたるアクセスを可能にする、柔軟性を持ったバックドア。

マルウェアによる被害状況、稀な目撃情報、そしてステルス性と巧妙さのレベルは、KapekaがAPT(Advanced Persistent Threat:高度かつ持続的な脅威)レベルの活動であることを示しているとのこと。

  • Kapekaの概要

    Kapekaの概要

Kapekaの開発と展開は2022年のロシア・ウクライナ戦争の勃発を受けて行われており、ウクライナへの侵攻以来、中欧および東欧全域のターゲットに対する標的型攻撃に使用されている可能性が高いという。

限定された範囲の攻撃に使用されるカスタムツール

ウィズセキュアのリサーチ部門であるWithSecure Intelligence (WithIntel)で今回のリサーチのリーダーを務めたMohammad Kazem Hassan Nejad(モハマッド・カゼム・ハッサン・ネジャッド)氏はKapekaの観測について次のように述べている。

「KapekaバックドアはロシアのAPT活動、特にSandwormグループとの関連性によって、人々に大きな懸念をもたらしています。観測頻度の低さとターゲットを絞った標的型であるという特徴が主に東欧で観察されており、限定された範囲の攻撃に使用されるカスタムツールであることを示唆しています。さらなる分析により、Sandwormに関連するもう1つのツールキットであるGreyEnergyとの共通点が明らかになりました。これはヨーロッパにおいて標的とされる企業/団体にとっては大きな潜在的脅威となります」(ネジャッド氏)

同社が最後にKapekaの活動を観測したのは2023年5月となり、攻撃グループ、特に国家ハッカーグループが活動を停止したり、ツールを完全に廃棄したりすることは非常に稀とのことだ。

そのため、Kapekaの観測例が少ないことはロシア・ウクライナ戦争など、数年にわたる作戦においてAPTがKapekaを綿密に利用していることの証拠と考えることができるという。