Dolphin-Malware der A37-Gruppe zum Stehlen von Daten und zur Zielverfolgung einer südkoreanischen Zeitung verwendet

Sicherheitsforscher der Firma ESET entdeckten ein unbekanntes Hintertürprogramm, das sie “Dolphin” nannten, welches von nordkoreanischen Hackern seit mehr als einem Jahr in gezielten Operationen verwendet wird, um Dateien zu stehlen und diese dann an Google Drive zu senden.

Die APT 37-Gruppe Reaper, Red, Eyes, Erebus und Scarcruft hat die Dolphin-Malware gegen sehr spezifische Entitäten eingesetzt. Diese Gruppe wird seit 2012 mit Spionageaktivitäten in Verbindung gebracht, die mit nordkoreanischen Interessen verbunden sind.

Die Malware, d.h. Dolphin, wurde erstmals 2021 von ESET-Forschern entdeckt und hat sich seitdem in neue Varianten mit verbesserten Codes und Anti-Detection-Methoden weiterentwickelt.

Nun, die Angreifer verwenden Dolphin nicht allein; BLUELIGHT wird zusammen mit Dolphin verwendet. BLUELIGHT ist ein grundlegendes Spionagewerkzeug, das Teil früherer AP37-Kampagnen war, obwohl es leistungsfähigere Fähigkeiten hat, d.h. Passwörter aus Webbrowsern zu stehlen, Tastenanschläge zu protokollieren und Screenshots zu erstellen.

Das BLUELIGHT wird verwendet, um den Dolphin-Python-Loader auf einem infizierten Computer zu starten, obwohl es eine sehr begrenzte Rolle bei Spionageaktivitäten hat.

Der Dolphin-Python-Loader, der ein Skript und einen Shellcode enthält, startet eine mehrstufige XOR-Dekryptionserstellung, die letztendlich zur Dolphin-Nutzlast im neu erstellten Speicherprozess führt.

Nun, die Malware Dolphin ist eine C++-ausführbare Datei, die Google Drive als Befehlszentrale C2-Server verwendet, um gestohlene Dateien zu speichern, und die Malware beginnt mit der Persistenz, indem sie die Windows-Registry ändert.

Lesen: Gefälschtes MSI Afterburner-Portal zielt auf Windows-Spieler ab, um Krypto zu minen

Die Malware sammelt in den Anfangsstadien die folgenden Informationen vom kompromittierten Computer.

• Benutzername

• Computername

• Lokale und externe IP-Adressen

• Installiertes Antivirenprogramm

• RAM-Größe und -nutzung

• Existenz von Debugging- oder Netzwerkinspektionswerkzeugen

• Betriebssystemversion

Darüber hinaus sendet die Malware auch die aktuelle Konfiguration, Zeit und Versionsnummer an den C2-Server, und die Konfiguration enthält Keylogger sowie Anweisungen zur Datenexfiltration und Anmeldedaten für die Google Drive API, Verschlüsselungsschlüssel und Zugriffe.

Laut den ESET-Forschern sendeten die Angreifer ihre Befehle an die Malware, indem sie sie in Google Drive hochluden, und im Gegenzug lädt die Hintertür, d.h. Dolphin, die Ergebnisse der Ausführung dieser Befehle hoch. Darüber hinaus hat Dolphin einen erweiterten Satz von Fähigkeiten, der das Scannen lokaler und entfernbarer Festplatten nach einer Vielzahl von Daten wie Bildern, Dokumenten, Zertifikaten und E-Mails umfasst. Diese Funktion wurde dann weiter verbessert, um Daten nach Erweiterung zu filtern.

Die Malware hat eine erhöhte Suchfähigkeit, über die sie jedes Telefon scannen kann, das mit dem infizierten Computer verbunden ist, indem sie die Windows Portable Drive API verwendet. Die Forscher bei ESET sagen jedoch, dass diese Funktion in der ersten Version der Malware, die sie entdeckten, noch in der Entwicklung war!

Beispiele dafür sind wie folgt.

Verwendung eines Hardcode-Pfads mit einem Benutzernamen, der wahrscheinlich nicht auf dem Computer des Opfers existiert.

Fehlende Variableninitialisierung – einige der Variablen werden als null-initialisiert angenommen, oder sie werden als Zeiger ohne Initialisierung dereferenziert.

Fehlende Erweiterungsfiltration.

Darüber hinaus kann es auch die Sicherheit des Google-Kontos des Opfers schwächen, indem es die damit verbundenen Einstellungen ändert, und dies ermöglicht es den Hackern, länger auf das Gmail-Konto zuzugreifen. Außerdem kann die Malware die Tastenanschläge protokollieren, indem sie die Google Chrome GetAsyncKeyStateAPI ausnutzt. Sie kann alle 30 Sekunden einen Screenshot des aktiven Fensters erstellen.

Die Forscher der ESET-Sicherheitsfirma haben seit Januar 2022 bereits vier verschiedene Varianten der Dolphin-Malware gefunden, und es ist möglich, dass eine neuere Version von Dolphin existiert und möglicherweise bereits in Angriffen verwendet wurde, da die Hintertür gegen spezifische Ziele eingesetzt wurde.

ESET-Forscher fügten hinzu, dass die Dolphin-Malware in einem Wasserlochangriff auf eine südkoreanische Zeitung verwendet wurde, die über Aktivitäten und Ereignisse im Zusammenhang mit Nordkorea berichtete. Die Hacker verwendeten Internet Explorer, um die Dolphin-Malware zu implementieren und die Hosts anzugreifen.

Lesen: Google veröffentlicht Chrome-Update zur Behebung seiner 8. Zero-Day-Sicherheitsanfälligkeit des Jahres