Güvenlik araştırmacıları, Dophin adını verdikleri daha önce bilinmeyen bir arka kapı buldular, Kuzey Koreli bilgisayar korsanları tarafından bir yıldan fazla bir süredir dosyaları çalmak ve Google Drive depolama alanına göndermek için yüksek hedefli operasyonlarda kullanıldı.
Siber güvenlik şirketi ESET'in araştırmasına göre, APT 37 Tehdit Grubu (diğer adıyla Reaper, Red Eyes, Erebus, Scarcruft) yeni keşfedilen kötü amaçlı yazılımları çok özel varlıklara karşı kullandı. Grup, 2012'den beri Kuzey Kore çıkarları ile ilan eden casusluk faaliyeti ile ilişkilendirilmiştir.
Araştırmacılar Dopphin'i Nisan 2021'de buldular ve geliştirilmiş kod ve algılama mekanizmaları ile yeni sürümlere dönüştüğünü gözlemlediler.
Dolphin, önceki APT37 kampanyalarında görülen temel bir keşif aracı olan BluuLight ile birlikte kullanılır, ancak web tarayıcılarından (şifreler) bilgileri çalmak, ekran görüntüleri almak ve tuş vuruşları gibi daha güçlü yeteneklere sahiptir.
BluuLight, Dolphin'in Python Loader'ı tehlikeye atılmış bir sistemde başlatmak için kullanılır, ancak casusluk işlemlerinde sınırlı bir rol oynar.
Python yükleyici, çok aşamalı bir xor kurutma, işlem oluşturma vb. Başlatarak bir komut dosyası ve kabuk kodu içerir, bu da yeni oluşturulan bir bellek işleminde yunus yükünün yürütülmesine neden olur.
Dolphin, Google Drive'ı bir komut ve kontrol (C2) sunucusu olarak kullanan ve çalınan dosyaları depolamak için bir C ++ yürütülebilir. Kötü amaçlı yazılım, Windows kayıt defterini değiştirerek kalıcılık oluşturur.
İlk aşamada Dolphin, enfekte edilmiş makineden aşağıdaki bilgileri toplar:
Arka kapı ayrıca C2'ye geçerli yapılandırmasını, sürüm numarasını ve zamanını gönderir.
Yapılandırma, Keylogging ve Dosya Eksfiltrasyon Talimatları, Google Drive API Erişim için Kimlik Bilgileri ve Şifreleme Anahtarları içerir.
Araştırmacılar, bilgisayar korsanlarının komutlarını Google Drive'a yükleyerek Dolphin'e teslim ettiklerini söylüyor. Yanıt olarak, arka kapı sonucu komutların yürütülmesinin sonucu yükler.
Kötü amaçlı yazılım, Google Drive'a arşivlenen ve teslim edilen çeşitli veri türleri (medya, belgeler, e -postalar, sertifikalar) için yerel ve çıkarılabilir sürücüleri taramayı içeren genişletilmiş özelliklere sahiptir. Bu özellik, verileri uzatma ile filtrelemek için daha da geliştirildi.
Arama özellikleri, Windows Taşınabilir Aygıt API'sını kullanarak tehlikeye atılan ana bilgisayara bağlı herhangi bir telefona uzanır.
ESET, bu işlevselliğin buldukları kötü amaçlı yazılımın ilk sürümünde geliştirildiği görülüyor. Buna işaret eden kanıtlar:
Ayrıca, ilgili ayarları değiştirerek bir kurbanın Google hesabını güvenliği de azaltabilir. Bu, saldırganların daha uzun bir süre için kurban hesabına erişimini sağlayabilir
Dophin, 'getasynkeystate' API'sını kötüye kullanarak Google Chrome'daki kullanıcı tuş vuruşlarını kaydedebilir ve her 30 saniyede bir etkin pencerenin bir görüntüsünü alabilir.
ESET araştırmacıları Dolphin Backdoor için dört ayrı versiyon yakaladı, en sonuncusu Ocak 2022'den itibaren 3.0.
Arka kapının belirli hedeflere karşı konuşlandırıldığı göz önüne alındığında, Dolphin'in daha yeni sürümlerinin var ve saldırılarda kullanılması mümkündür.
Araştırmacılara göre, kötü amaçlı yazılım, Kuzey Kore ile ilgili etkinlik ve olaylar hakkında bir Güney Koreli makaleye yapılan bir sulama deliği saldırısında kullanıldı. Bilgisayar korsanları, sonuçta Dolphin Backdoor'u hedef ana bilgisayarlara teslim etmek için bir İnternet Explorer istismarına güveniyordu.
ESET'in raporu, 1.9 ila 3.0 (86/64 bit) Dolphin Backdoor sürümleri için bir karma listesi sunar.
Kuzey Koreli hackerlar güncellenmiş kötü amaçlı yazılımlarla Avrupa orgs hedeflerini hedefleyin
Hackerlar, kötü amaçlı yazılımları kontrol etmek için Microsoft IIS Web Server günlüklerini kullanır
200.000 Roblox Oyuncusu tarafından yüklenen backdoed Chrome uzantısı
Bilgisayar korsanları, 60'dan fazla kurbanı hedeflemek için yeni gizli Powershell arka kapısı kullanıyor
Ursnif kötü amaçlı yazılım, banka hesabı hırsızlığından başlangıç erişimine geçiş yapar
Kaynak: Bleeping Computer