サイバーセキュリティ · 1 min read · Feb 09, 2026

A37グループのドルフィンマルウェアがデータを盗み、韓国の新聞を標的にする

マルウェア

ESET社のセキュリティ研究者は、「ドルフィン」と名付けた未知のバックドアを発見しました。これは、北朝鮮のハッカーによって、ファイルを盗み、それをGoogle Driveに送信するために、1年以上にわたり高度にターゲットを絞った操作に使用されています。

APT 37グループのReaper、Red、Eyes、Erebus、およびScarcruftは、非常に特定のエンティティに対してドルフィンマルウェアを使用しています。このグループは、2012年以降、北朝鮮の利益に関連するスパイ活動と関連付けられています。

マルウェア、すなわちドルフィンは、2021年にESETの研究者によって初めて検出され、それ以来、改善されたコードと検出回避手法を持つ新しいバリアントに進化しています。

攻撃者はドルフィンを単独で使用するわけではなく、BLUELIGHTもドルフィンと共に使用されます。BLUELIGHTは、以前のAP37キャンペーンの一部であった基本的なスパイツールであり、パスワードをウェブブラウザから盗む、キーストロークを記録する、スクリーンショットを撮るなどのより強力な機能を持っています。

BLUELIGHTは、感染したコンピュータ上でドルフィンPythonローダーを起動するために使用されますが、スパイ活動には非常に限られた役割を果たします。

ドルフィンPythonローダーは、スクリプトとシェルコードを含み、最終的に新しく作成されたメモリプロセス内でドルフィンペイロードを生成するためのマルチステップXOR復号化を開始します。

A37グループの感染チェーン

ドルフィンマルウェアは、Google DriveをコマンドコアC2サーバーとして使用し、盗まれたファイルを保持するC++実行可能ファイルであり、Windowsレジストリを変更することで持続性を開始します。

読む: 偽のMSI AfterburnerポータルがWindowsゲーマーをターゲットにして暗号をマイニング

マルウェアは初期段階で、侵害されたコンピュータから以下の情報を収集します。

  • ユーザー名
  • コンピュータ名
  • ローカルおよび外部IPアドレス
  • インストールされたアンチウイルス
  • RAMのサイズと使用状況
  • デバッグまたはネットワーク検査ツールの存在
  • オペレーティングシステムのバージョン

さらに、マルウェアはC2サーバーに現在の構成、時間、バージョン番号を送信し、構成にはキーロガーやデータ流出指示、Google Drive APIのログイン詳細、暗号化キー、アクセスが含まれています。

ドルフィンマルウェアの構成

ESETの研究者によると、攻撃者はGoogle Driveにコマンドをアップロードすることでマルウェアに指示を送り、その結果、バックドアであるドルフィンはそれらのコマンドを実行した結果をアップロードします。さらに、ドルフィンは、画像、文書、証明書、メールなどのさまざまなデータのためにローカルおよびリムーバブルハードドライブをスキャンする機能を持っています。この機能は、拡張子によるデータのフィルタリングをさらに改善しました。

マルウェアは、感染したコンピュータに接続されている任意の電話をスキャンできる検索機能を強化しており、Windows Portable Drive APIを使用しています。しかし、ESETの研究者は、この機能は彼らが発見したマルウェアの最初のバージョンではまだ開発中であったと述べています!

その例は以下の通りです。

  • 被害者のコンピュータ上に存在しない可能性が高いユーザー名を持つハードコードパスの使用。
  • 変数の初期化が欠落している – 一部の変数はゼロ初期化されていると仮定されているか、初期化なしでポインタとしてデリファレンスされています。
  • 拡張子フィルタリングの欠落。

さらに、マルウェアは被害者のGoogleアカウントの関連設定を変更することで、そのセキュリティを弱体化させ、これによりハッカーがGmailアカウントに長時間アクセスできるようになります。また、マルウェアはGoogle ChromeのGetAsyncKeyStateAPIを悪用してキーストロークを記録することができます。アクティブウィンドウのスクリーングラブを30秒ごとに撮ることができます。

ESETセキュリティ会社の研究者は、2022年1月以降、ドルフィンマルウェアの4つの異なるバリアントをすでに発見しており、新しいバージョンのドルフィンが存在し、すでに攻撃に使用されている可能性があると考えています。バックドアは特定のターゲットに対して使用されています。

ドルフィンマルウェアのタイムライン

ESETの研究者は、ドルフィンマルウェアが北朝鮮に関連する活動やイベントを報告する韓国の新聞に対する水飲み場攻撃に使用されたと付け加えました。ハッカーはInternet Explorerを使用してドルフィンマルウェアを展開し、ホストを標的にしました。

読む: Googleが今年の8番目のゼロデイ脆弱性を修正するためにChromeの更新をプッシュ

Share: X/Twitter LinkedIn
#サイバーセキュリティ

新しい投稿を受信箱で受け取る

スパムはありません。いつでも購読を解除できます。