Malware Dolphin du groupe A37 utilisé pour voler des données et cibler un journal sud-coréen

Des chercheurs en sécurité de la société ESET ont découvert une porte dérobée inconnue qu’ils ont nommée “Dolphin”, qui a été utilisée par des hackers nord-coréens dans des opérations très ciblées pendant plus d’un an pour voler des fichiers et les envoyer ensuite sur Google Drive.

Le groupe APT 37 Reaper, Red, Eyes, Erebus et Scarcruft a utilisé le malware Dolphin contre des entités très spécifiques. Ce groupe est lié à des activités d’espionnage associées aux intérêts nord-coréens depuis 2012.

Le malware, c’est-à-dire Dolphin, a été détecté pour la première fois par les chercheurs d’ESET en 2021, et depuis lors, il a évolué en de nouvelles variantes avec des codes améliorés et des méthodes anti-détection.

Eh bien, les attaquants n’utilisent pas Dolphin seul ; BLUELIGHT est utilisé avec Dolphin. BLUELIGHT est un outil d’espionnage de base qui a fait partie des campagnes précédentes de l’AP37 bien qu’il ait des capacités plus puissantes, c’est-à-dire voler des mots de passe des navigateurs web, enregistrer les frappes au clavier et prendre des captures d’écran.

Le BLUELIGHT est utilisé pour démarrer le chargeur Python Dolphin sur un ordinateur infecté bien qu’il ait un rôle très limité dans les activités d’espionnage.

Le chargeur Python Dolphin, qui comprend un script et un shellcode, lance une création de décryptage XOR en plusieurs étapes qui, à la fin, aboutit à la charge utile Dolphin dans le processus mémoire nouvellement créé.

Eh bien, le malware Dolphin est un exécutable C++ qui utilise Google Drive comme serveur de commande C2 pour conserver les fichiers volés, et le malware commence la persistance en modifiant le registre Windows.

Lire : Un faux portail MSI Afterburner cible les joueurs Windows pour miner des cryptomonnaies

Le malware, aux premiers stades, collecte les informations suivantes à partir de l’ordinateur compromis.

• Nom d’utilisateur

• Nom de l’ordinateur

• Adresses IP locales et externes

• Antivirus installé

• Taille et utilisation de la RAM

• Existence d’un outil de débogage ou d’inspection réseau

• Version du système d’exploitation

De plus, le malware envoie également au serveur C2 sa configuration actuelle, l’heure et le numéro de version, et la configuration contient des enregistreurs de frappe et également des instructions d’exfiltration de données et des détails de connexion pour l’API Google Drive, des clés de chiffrement et un accès.

Selon les chercheurs d’ESET, les attaquants ont envoyé leurs commandes au malware en les téléchargeant sur Google Drive, et en retour, la porte dérobée, c’est-à-dire Dolphin, télécharge les résultats de l’exécution de ces commandes. De plus, Dolphin a un ensemble de capacités accru qui inclut le scan des disques durs locaux et amovibles pour une variété de données comme des images, des documents, des certificats et des e-mails. La fonctionnalité a ensuite été améliorée pour filtrer les données par extension.

Le malware a une capacité de recherche accrue par laquelle il peut scanner tout téléphone connecté à l’ordinateur infecté en utilisant l’API Windows Portable Drive. Cependant, les chercheurs d’ESET affirment que cette fonction était encore en développement dans la première version du malware qu’ils ont découverte !

Des exemples de cela sont les suivants.

Utilisation d’un chemin codé en dur avec un nom d’utilisateur qui n’existe probablement pas sur l’ordinateur de la victime.

Initialisation de variable manquante – certaines des variables sont supposées être initialisées à zéro, ou elles sont déréférencées en tant que pointeurs sans initialisation.

Filtration d’extension manquante.

De plus, il peut également affaiblir la sécurité du compte Google de la victime en modifiant ses paramètres associés, et en retour, cela permet aux hackers d’accéder au compte Gmail pendant une plus longue période. De plus, le malware peut noter les frappes au clavier en exploitant l’API GetAsyncKeyState de Google Chrome. Il peut prendre une capture d’écran de la fenêtre active toutes les 30 secondes.

Les chercheurs de la société de sécurité ESET ont déjà trouvé quatre variantes différentes du malware Dolphin depuis janvier 2022, et il est possible qu’une version plus récente de Dolphin existe et ait probablement été utilisée dans des attaques déjà car la porte dérobée a été utilisée contre des cibles spécifiques.

Les chercheurs d’ESET ont ajouté que le malware Dolphin a été utilisé dans une attaque par water-hole contre un journal sud-coréen rapportant sur des activités et des événements liés à la Corée du Nord. Les hackers ont utilisé Internet Explorer pour déployer le malware Dolphin afin de cibler les hôtes.

Lire : Google pousse une mise à jour de Chrome pour corriger sa 8ème vulnérabilité zero-day de l’année