Исследование ESET: группа, связанная с Северной Кореей, запускает бэкдор Dolphin, крадет интересующие файлы и общается через Google Диск

Исследователи ESET проанализировали ранее неизвестный сложный бэкдор, используемый APT-группой ScarCruft. Бэкдор, который ESET назвала Dolphin, имеет широкий спектр шпионских возможностей, включая мониторинг дисков и портативных устройств, извлечение интересующих файлов, регистрацию клавиатуры, создание снимков экрана и кражу учетных данных из браузеров. Его функциональность зарезервирована для выбранных целей, на которые бэкдор развертывается после первоначальной компрометации с использованием менее сложного вредоносного ПО. Dolphin злоупотребляет облачными хранилищами — в частности, Google Drive — для управления и контроля связи.

- Исследователи ESET проанализировали Dolphin, ранее неизвестный бэкдор, используемый APT-группой ScarCruft.
- Dolphin имеет множество шпионских возможностей, в том числе мониторинг дисков и портативных устройств, эксфильтрацию интересующих файлов, регистрацию клавиатуры, создание снимков экрана и кражу учетных данных из браузеров.
- Dolphin развертывается только на выбранных целях; он ищет на дисках скомпрометированных систем интересные файлы и эксфильтрирует их на Google Диск.
- ScarCruft, также известная как APT37 или Reaper, — это шпионская группа, действующая как минимум с 2012 года. В основном она занимается Южной Кореей. Интересы ScarCruft, похоже, связаны с интересами Северной Кореи.
- Бэкдор использовался в качестве последней полезной нагрузки многоэтапной атаки в начале 2021 года, включающей атаку на южнокорейскую интернет-газету, эксплойт для Internet Explorer и еще один бэкдор ScarCruft под названием BLUELIGHT.
- С момента первоначального обнаружения Dolphin в апреле 2021 года исследователи ESET наблюдали несколько версий бэкдора, в которых злоумышленники улучшали возможности бэкдора и пытались избежать обнаружения.
- Примечательной особенностью более ранних версий Dolphin является возможность изменять настройки учетных записей жертв в Google и Gmail, чтобы снизить их безопасность.

ScarCruft, также известная как APT37 или Reaper, — это шпионская группа, действующая как минимум с 2012 года. В первую очередь она занимается Южной Кореей, но и другие азиатские страны также стали ее мишенями. ScarCruft, похоже, интересует в основном правительственные и военные организации, а также компании в различных отраслях, связанные с интересами Северной Кореи.

«После развертывания на выбранных объектах он ищет на дисках скомпрометированных систем интересные файлы и эксфильтрирует их на Google Диск. Одной из необычных возможностей, обнаруженных в предыдущих версиях бэкдора, является возможность изменять настройки учетных записей Google и Gmail жертвы для снижения их безопасности, предположительно для сохранения доступа к учетной записи Gmail для злоумышленников», — говорит исследователь ESET Филип Юрчацко, проанализировавший уязвимость.

В 2021 году ScarCruft провел атаку на южнокорейскую интернет-газету, посвященную Северной Корее. Атака состояла из нескольких компонентов, включая эксплойт для Internet Explorer и шелл-код, ведущий к бэкдору под названием BLUELIGHT.

«В предыдущих отчетах бэкдор BLUELIGHT описывался как последняя полезная нагрузка атаки. Однако при анализе атаки мы обнаружили с помощью телеметрии ESET второй, более сложный бэкдор, развернутый на отдельных жертвах через этот первый бэкдор. Мы назвали этот бэкдор Dolphin на основе пути PDB, найденного в исполняемом файле», — объясняет Юрчацко.

С момента первоначального обнаружения Dolphin в апреле 2021 года исследователи ESET наблюдали несколько версий бэкдора, в которых злоумышленники улучшали возможности бэкдора и пытались избежать обнаружения.
В то время как бэкдор BLUELIGHT выполняет базовую разведку и оценку скомпрометированной машины после эксплуатации, Dolphin более сложен и развертывается вручную только против избранных жертв. Оба бэкдора способны извлекать файлы из пути, указанного в команде, но Dolphin также активно ищет диски и автоматически извлекает файлы с интересными расширениями.



Бэкдор собирает основную информацию о целевой машине, включая версию операционной системы, версию вредоносного ПО, список установленных продуктов безопасности, имя пользователя и имя компьютера. По умолчанию Dolphin ищет все фиксированные (HDD) и нефиксированные диски (USB), создает списки каталогов и извлекает файлы по расширению. Dolphin также выполняет поиск портативных устройств, таких как смартфоны, с помощью Windows Portable Device API. Бэкдор также крадет учетные данные из браузеров и способен к кейлоггингу и делать скриншоты. Наконец, он помещает эти данные в зашифрованные ZIP-архивы перед загрузкой на Google Диск.