CAPI后门攻击俄罗斯汽车与电商行业

Seqrite Labs的网络安全研究人员发现了一个新的攻击活动，追踪为"Operation MotorBeacon"，该活动使用一种以前未知的.NET恶意软件（名为CAPI Backdoor）针对俄罗斯汽车和电子商务行业。

攻击链分析

攻击链从包含ZIP压缩包的钓鱼邮件开始，该压缩包标题为"Перерасчет заработной платы 01.10.2025"（翻译为"截至2025年10月1日的工资重新计算"），其中隐藏了一个恶意LNK文件，通过rundll32.exe运行.NET植入程序，并连接到C2服务器。

压缩包中包含的诱饵文件"Notification for the Tax Office No. P4353.pdf"伪装成2025年10月1日生效的税务更新通知，详细说明了收入超过300万卢布的个人所得税从13%提高到15%，展示了这对工资的影响，并敦促员工规划预算并咨询人力资源部门。

恶意软件功能

LNK文件通过rundll32.exe运行.NET后门（“adobe.dll”），检查管理员权限和防病毒工具，然后打开诱饵文档，随后连接到91.223.75[.]96接收命令。

CAPI Backdoor支持多种功能，包括：

• 窃取浏览器数据（Chrome、Edge、Firefox）
• 截取屏幕截图
• 收集系统信息
• 列出文件夹并外泄结果

持久化机制

该恶意软件运行多个虚拟机/分析检查，并通过创建计划任务和在Windows启动文件夹中放置LNK文件来建立持久性，以便从Roaming目录自动启动后门DLL。

基础设施分析

研究人员发现了两个与CAPI Backdoor相关的网络特征，包括一个DGA生成的域名。该活动自10月3日开始活跃，最初使用一个虚假域名，后来重定向到合法网站。恶意软件托管在443端口，并通过鱼叉式网络钓鱼诱饵链接。早期基础设施位于ASN 197695（AS-REG）下，而数据外泄则通过ASN 39087（P.a.k.t LLC）进行。

研究结论

研究人员表示：“我们自10月3日起一直在跟踪此活动，发现它使用了一个虚假域名carprlce[.]ru，该域名与合法域名carprice[.]ru非常相似。这表明威胁行为者正在针对俄罗斯汽车行业。恶意载荷是一个.NET DLL，充当窃取程序并为未来的恶意活动建立持久性。”