Малварь Dolphin группы A37 использовалась для кражи данных и атаки на южнокорейскую газету

Исследователи безопасности компании ESET обнаружили неизвестную заднюю дверь, которую они назвали “Dolphin”, которая использовалась северокорейскими хакерами в высоко нацеленных операциях более года для кражи файлов и их отправки в Google Drive.

Группа APT 37 Reaper, Red, Eyes, Erebus и Scarcruft использовала малварь Dolphin против очень специфических объектов. Эта группа была связана с шпионской деятельностью, связанной с интересами Северной Кореи, с 2012 года.

Малварь, т.е. Dolphin, была впервые обнаружена исследователями ESET в 2021 году, и с тех пор она эволюционировала в новые варианты с улучшенными кодами и методами противодействия обнаружению.

Ну, злоумышленники не используют Dolphin в одиночку; BLUELIGHT используется вместе с Dolphin. BLUELIGHT — это основной шпионский инструмент, который был частью предыдущих кампаний AP37, хотя у него есть более мощные возможности, т.е. кража паролей из веб-браузеров, запись нажатий клавиш и создание скриншотов.

BLUELIGHT используется для запуска загрузчика Dolphin на зараженном компьютере, хотя он имеет очень ограниченную роль в шпионской деятельности.

Загрузчик Dolphin на Python, который включает в себя скрипт и shellcode, запускает многоступенчатое создание XOR-дешифрования, которое в конечном итоге приводит к полезной нагрузке Dolphin в вновь созданном процессе памяти.

Ну, малварь Dolphin — это исполняемый файл на C++, который использует Google Drive в качестве командного ядра C2-сервера для хранения украденных файлов, и малварь начинает постоянство, изменяя реестр Windows.

Читать: Поддельный портал MSI Afterburner нацелен на геймеров Windows для майнинга криптовалюты

Малварь на начальных этапах собирает следующую информацию с компрометированного компьютера.

• Имя пользователя
• Имя компьютера
• Локальные и внешние IP-адреса
• Установленный антивирус
• Размер и использование ОЗУ
• Наличие инструмента отладки или сетевого инспектора
• Версия операционной системы

Более того, малварь также отправляет на C2-сервер свою текущую конфигурацию, время и номер версии, а конфигурация содержит кейлоггеры и инструкции по эксфиляции данных, а также данные для входа в API Google Drive, ключи шифрования и доступ.

Согласно исследователям ESET, злоумышленники отправляли свои команды на малварь, загружая их в Google Drive, и в ответ задняя дверь, т.е. Dolphin, загружает результаты выполнения этих команд. Кроме того, Dolphin имеет расширенный набор возможностей, который включает сканирование локальных и съемных жестких дисков на предмет различных данных, таких как изображения, документы, сертификаты и электронные письма. Эта функция была затем дополнительно улучшена для фильтрации данных по расширению.

Малварь имеет увеличенные возможности поиска, с помощью которых она может сканировать любой телефон, подключенный к зараженному компьютеру, используя API Windows Portable Drive. Однако исследователи ESET говорят, что эта функция все еще разрабатывалась в первой версии малвари, которую они обнаружили!

Примеры этого следующие.

Использование жестко закодированного пути с именем пользователя, которое, вероятно, не существует на компьютере жертвы.

Отсутствие инициализации переменных — некоторые переменные предполагаются как инициализированные нулем, или они разыменовываются как указатели без инициализации.

Отсутствие фильтрации по расширению.

Более того, она также может ослабить безопасность учетной записи Google жертвы, изменяя связанные с ней настройки, и в ответ это позволяет хакерам иметь доступ к учетной записи Gmail в течение более длительного времени. Также малварь может записывать нажатия клавиш, используя Google Chrome GetAsyncKeyStateAPI. Она может делать скриншот активного окна каждые 30 секунд.

Исследователи компании ESET уже нашли четыре различных варианта малвари Dolphin с января 2022 года, и возможно, что новая версия Dolphin существует и, возможно, уже использовалась в атаках, поскольку задняя дверь использовалась против конкретных целей.

Исследователи ESET добавили, что малварь Dolphin использовалась в атаке на водопой на южнокорейскую газету, освещающую деятельность и события, связанные с Северной Кореей. Хакеры использовали Internet Explorer для развертывания малвари Dolphin с целью нацеливания на хосты.

Читать: Google выпускает обновление Chrome для исправления своей 8-й уязвимости нулевого дня в этом году