Компанія ESET ― лідер у галузі інформаційної безпеки ― проаналізувала раніше невідомий складний бекдор, який використовує APT-група ScarCruft. Шкідлива програма Dolphin має широкий спектр шпигунських можливостей, зокрема моніторинг дисків і портативних пристроїв, перехоплення файлів, запис натискань клавіатури, створення знімків екрану і викрадення облікових даних із браузерів.
Функціонал загрози використовується для вибраних цілей, на пристроях яких бекдор розгортається після початкової компрометації за допомогою менш вдосконаленого шкідливого програмного забезпечення. Крім цього, Dolphin несанкціоновано використовує хмарні сховища, зокрема Google Drive, для з’єднання з командним сервером.
Варто зазначити, що ScarCruft, також відома як APT37 або Reaper, является шпионской группой киберпреступников, яка активна принаймні з 2012 року. Вона зосереджена в основному на Південній Кореї, але її цілями часто ставали й інші країни Азії. ScarCruft зацікавлена в основному в урядових і військових організаціях, а також компаніях у різних галузях, пов’язаних з інтересами Північної Кореї.
«Після розгортання на пристроях певних цілей шкідлива програма шукає цікаві файли на дисках скомпрометованих систем і надсилає їх на Google Drive. Однією незвичайною можливістю, знайденою в попередніх версіях бекдора, є здатність змінювати налаштування облікових записів Google і Gmail жертв для зменшення рівня їх безпеки», — розповідає Філіп Юрчако, дослідник ESET.
З моменту першого виявлення Dolphin у квітні 2021 року дослідники ESET помітили кілька версій бекдора, у яких зловмисники покращували його можливості та здатність уникати виявлення.
У той час як простіший бекдор з назвою BLUELIGHT виконує базову розвідку та оцінку пристрою після компрометації, Dolphin є більш досконалим і вручну розгортається лише для вибраних жертв. Обидва бекдори здатні перехоплювати файли зі шляху, указаного в команді, але Dolphin також активно шукає диски та автоматично перехоплює файли з цікавими розширеннями.
Крім цього, вдосконалений бекдор може:
- збирати основну інформацію про певний пристрій, включно з версією операційної системи, списком встановлених продуктів з безпеки, ім’ям користувача та ім’ям комп’ютера;
- за замовчуванням шукати всі жорсткі (HDD) і змінні диски (USB), а також створювати списки каталогів і перехоплювати файли за розширеннями;
- знаходити портативні пристрої, наприклад смартфони, через Windows Portable Device API;
- викрадати облікові дані з браузерів;
- записувати натиснення клавіатури та робити знімки екрана.
Зрештою перед завантаженням на Google Drive ці дані зберігаються в зашифрованих ZIP-архівах. Додаткова інформація про ScarCruft доступна за посиланням.
Для уникнення інфікування подібними загрозами спеціалісти ESET рекомендують дотримуватися основних правил кібербезпеки, зокрема вчасно оновлювати програмне забезпечення та операційну систему, а також використовувати актуальну версію рішення для захисту.