Шпигунська програма Dolphin використовує Google Drive

0
281 views
Викрадення даних, моніторинг дисків, перехоплення файлів та інші можливості Dolphin.

Компанія ESET проаналізувала раніше невідомий складний бекдор, який використовує APT-група ScarCruft. Шкідлива програма Dolphin має широкий спектр шпигунських можливостей, зокрема моніторинг дисків і портативних пристроїв, перехоплення файлів, запис натискань клавіатури, створення знімків екрану і викрадення облікових даних із браузерів.

Функціонал загрози використовується для вибраних цілей, на пристроях яких бекдор розгортається після початкової компрометації за допомогою менш вдосконаленого шкідливого програмного забезпечення. Крім цього, Dolphin несанкціоновано використовує хмарні сховища, зокрема Google Drive, для з’єднання з командним сервером.

Викрадення даних, моніторинг дисків, перехоплення файлів та інші можливості Dolphin.

Варто зазначити, що ScarCruft, також відома як APT37 або Reaper, є шпіонською групою кіберзлочинців, яка активна принаймні з 2012 року. Вона зосереджена в основному на Південній Кореї, але її цілями часто ставали й інші країни Азії. ScarCruft зацікавлена в основному в урядових і військових організаціях, а також компаніях у різних галузях, пов’язаних з інтересами Північної Кореї.

«Після розгортання на пристроях певних цілей шкідлива програма шукає цікаві файли на дисках скомпрометованих систем і надсилає їх на Google Drive. Однією незвичайною можливістю, знайденою в попередніх версіях бекдора, є здатність змінювати налаштування облікових записів Google і Gmail жертв для зменшення рівня їх безпеки», — розповідає Філіп Юрчако, дослідник ESET.

Допрацювання бекдора

З моменту першого виявлення Dolphin у квітні 2021 року дослідники ESET помітили кілька версій бекдора, у яких зловмисники покращували його можливості та здатність уникати виявлення.

У той час як простіший бекдор з назвою BLUELIGHT виконує базову розвідку та оцінку пристрою після компрометації, Dolphin є більш досконалим і вручну розгортається лише для вибраних жертв. Обидва бекдори здатні перехоплювати файли зі шляху, указаного в команді, але Dolphin також активно шукає диски та автоматично перехоплює файли з цікавими розширеннями.

Крім цього, вдосконалений бекдор може:

  • збирати основну інформацію про певний пристрій, включно з версією операційної системи, списком встановлених продуктів з безпеки, ім’ям користувача та ім’ям комп’ютера;
  • за замовчуванням шукати всі жорсткі (HDD) і змінні диски (USB), а також створювати списки каталогів і перехоплювати файли за розширеннями;
  • знаходити портативні пристрої, наприклад смартфони, через Windows Portable Device API;
  • викрадати облікові дані з браузерів;
  • записувати натиснення клавіатури та робити знімки екрана.

Зрештою перед завантаженням на Google Drive ці дані зберігаються в зашифрованих ZIP-архівах.

Для уникнення інфікування подібними загрозами спеціалісти ESET рекомендують дотримуватися основних правил кібербезпеки, зокрема вчасно оновлювати програмне забезпечення та операційну систему, а також використовувати актуальну версію рішення для захисту.