Il malware Dolphin del gruppo A37 usato per rubare dati e colpire un giornale sudcoreano

I ricercatori di sicurezza della società ESET hanno scoperto una backdoor sconosciuta che hanno chiamato “Dolphin”, utilizzata dagli hacker nordcoreani in operazioni mirate per oltre un anno per rubare file e poi inviarli a Google Drive.

Il gruppo APT 37 Reaper, Red, Eyes, Erebus e Scarcruft ha utilizzato il malware Dolphin contro entità molto specifiche. Questo gruppo è stato collegato ad attività di spionaggio associate agli interessi nordcoreani dal 2012.

Il malware, ovvero Dolphin, è stato rilevato per la prima volta dai ricercatori ESET nel 2021 e da allora è evoluto in nuove varianti con codici migliorati e metodi di anti-detection.

Bene, gli attaccanti non usano Dolphin da solo; BLUELIGHT viene utilizzato insieme a Dolphin. BLUELIGHT è uno strumento di spionaggio di base che è stato parte delle precedenti campagne AP37, anche se ha capacità più potenti, ovvero rubare password dai browser web, registrare le sequenze di tasti e fare screenshot.

Il BLUELIGHT viene utilizzato per avviare il caricatore Python Dolphin su un computer infetto, anche se ha un ruolo molto limitato nelle attività di spionaggio.

Il caricatore Python Dolphin, che include uno script e un codice shell, avvia una creazione di decrittazione XOR a più fasi che, alla fine, si traduce nel payload Dolphin nel processo di memoria appena creato.

Bene, il malware Dolphin è un eseguibile C++ che utilizza Google Drive come server C2 centrale per mantenere i file rubati, e il malware inizia la persistenza alterando il Registro di Windows.

Leggi: Il portale MSI Afterburner falso prende di mira i giocatori Windows per il mining di criptovalute

Il malware nelle fasi iniziali raccoglie le seguenti informazioni dal computer compromesso.

• Nome utente

• Nome del computer

• Indirizzi IP locali ed esterni

• Antivirus installato

• Dimensione e utilizzo della RAM

• Esistenza di strumenti di debug o ispezione della rete

• Versione del sistema operativo

Inoltre, il malware invia anche al server C2 la sua configurazione attuale, l’ora e il numero di versione, e la configurazione contiene keylogger e anche istruzioni di esfiltrazione dei dati e dettagli di accesso per l’API di Google Drive, chiavi di crittografia e accesso.

Secondo i ricercatori ESET, gli attaccanti inviavano i loro comandi al malware caricandoli su Google Drive, e in cambio, la backdoor, ovvero Dolphin, carica i risultati dall’esecuzione di quei comandi. Inoltre, Dolphin ha un set di capacità aumentato che include la scansione di hard disk locali e rimovibili per una varietà di dati come immagini, documenti, certificati e email. La funzione è stata poi ulteriormente migliorata per filtrare i dati per estensione.

Il malware ha una capacità di ricerca aumentata tramite la quale può scansionare qualsiasi telefono collegato al computer infetto utilizzando l’API di Windows Portable Drive. Tuttavia, i ricercatori di ESET affermano che questa funzione era ancora in fase di sviluppo nella prima versione del malware che hanno scoperto!

Esempi di ciò sono i seguenti.

Utilizzo di un percorso hardcoded con un nome utente che probabilmente non esiste nel computer della vittima.

Inizializzazione mancante delle variabili – alcune delle variabili si presume siano inizializzate a zero, o vengono dereferenziate come puntatori senza inizializzazione.

Filtrazione delle estensioni mancante.

Inoltre, può anche indebolire la sicurezza dell’account Google della vittima modificando le relative impostazioni, e in cambio, questo consente agli hacker di avere accesso all’account Gmail per un periodo di tempo più lungo. Inoltre, il malware può annotare le sequenze di tasti sfruttando Google Chrome GetAsyncKeyStateAPI. Può fare uno screenshot della finestra attiva ogni 30 secondi.

I ricercatori della società di sicurezza ESET hanno già trovato quattro diverse varianti del malware Dolphin da gennaio 2022, ed è possibile che esista una versione più recente di Dolphin e che sia stata già utilizzata in attacchi, poiché la backdoor è stata utilizzata contro obiettivi specifici.

I ricercatori ESET hanno aggiunto che il malware Dolphin è stato utilizzato in un attacco water-hole a un giornale sudcoreano che riportava su attività ed eventi legati alla Corea del Nord. Gli hacker hanno utilizzato Internet Explorer per distribuire il malware Dolphin per colpire gli host.

Leggi: Google spinge l’aggiornamento di Chrome per risolvere la sua ottava vulnerabilità zero-day dell’anno