Компания ESET ― лидер в области информационной безопасности ― проанализировала ранее неизвестный сложный бэкдор, который использует APT-группа ScarCruft. Вредоносная программа Dolphin имеет широкий спектр шпионских возможностей, в частности мониторинг дисков и портативных устройств, перехват файлов, запись нажатий клавиатуры, создание снимков экрана и похищение учетных данных из браузеров.
Функционал угрозы используется для выбранных целей, на устройствах которых бэкдор развертывается после первоначальной компрометации с помощью менее усовершенствованного вредоносного программного обеспечения. Кроме того, Dolphin несанкционированно использует облачные хранилища, в частности Google Drive, для соединения с командным сервером.
Следует отметить, что группа ScarCruft, также известная как APT37 или Reaper, является шпионской группой, которая активна по крайней мере с 2012 года. Она сосредоточена в основном на Южной Корее, но ее целями часто становились и другие страны Азии. ScarCruft заинтересована в основном в правительственных и военных организациях, а также компаниях в разных отраслях, связанных с интересами Северной Кореи.
«После развертывания на устройствах определенных целей вредоносная программа ищет интересные файлы на дисках скомпрометированных систем и отправляет их на Google Drive. Одной необычной возможностью, найденной в предыдущих версиях бэкдора, является способность изменять настройки аккаунтов Google и Gmail жертв для уменьшения уровня их безопасности», ― рассказывает Филипп Юрчако, исследователь ESET.
С момента первого обнаружения Dolphin в апреле 2021 года исследователи ESET заметили несколько версий бэкдора, в которых злоумышленники улучшали его возможности и способность избегать обнаружения.
В то время как более простой бэкдор под названием BLUELIGHT выполняет базовую разведку и оценку устройства после компрометации, Dolphin является более совершенным и вручную разворачивается только для избранных жертв. Оба бэкдора способны перехватывать файлы с пути указанного в команде, но Dolphin также активно ищет диски и автоматически перехватывает файлы с интересными расширениями.
Кроме этого, усовершенствованный бэкдор может:
- собирать основную информацию об определенном устройстве, включая версию операционной системы, список установленных продуктов безопасности, имя пользователя и имя компьютера;
- по умолчанию искать все жесткие (HDD) и сменные диски (USB), а также создавать списки каталогов и перехватывать файлы по расширениям;
- находить портативные устройства, например, смартфоны, через Windows Portable Device API;
- похищать учетные данные из браузеров;
- записывать нажатие клавиатуры и делать снимки экрана.
В конце концов, перед загрузкой на Google Drive эти данные хранятся в зашифрованных ZIP-архивах. Дополнительная информация о ScarCruft доступна по ссылке.
С целью избегания заражения подобными угрозами специалисты ESET рекомендуют придерживаться основных правил кибербезопасности, в частности, своевременно обновлять программное обеспечение и операционную систему, а также использовать актуальную версию решения для защиты.