Google Drive та хмарні сховища несанкціоновано використовуються новою шпигунською програмою
ESET проаналізував невідомий складний бекдор, який використовує APT-група ScarCruft. Шкідлива програма Dolphin має широкий спектр шпигунських можливостей, зокрема моніторинг дисків та портативних пристроїв, перехоплення файлів, запис натискань клавіатури, створення знімків екрану та викрадення облікових даних із браузерів.
Функціонал загрози використовується для вибраних цілей, на пристрої яких бекдор розгортається після початкової компрометації за допомогою менш удосконаленого шкідливого програмного забезпечення. Крім того, Dolphin несанкціоновано використовує хмарні сховища, зокрема Google Drive для з'єднання з командним сервером.
група ScarCruft, також відома як APT37 або Reaper, є шпигунською групою, яка активна принаймні з 2012 року. Вона зосереджена в основному на Південній Кореї, але її цілями часто ставали інші країни Азії. ScarCruft зацікавлена переважно в урядових та військових організаціях, а також компаніях у різних галузях, пов'язаних з інтересами Північної Кореї.
Після розгортання на пристроях певних цілей шкідлива програма шукає цікаві файли на дисках скомпрометованих систем і відправляє їх на Google Drive. Однією незвичайною можливістю, знайденою в попередніх версіях бекдору, є здатність змінювати налаштування облікових записів Google і Gmail жертв для зменшення рівня їхньої безпеки» , - розповідає Філіп Юрчако, дослідник ESET.
З моменту першого виявлення Dolphin у квітні 2021 року дослідники ESET помітили кілька версій бекдору, в яких зловмисники покращували його можливості та здатність уникати виявлення.
У той час як більш простий бекдор під назвою BLUELIGHT виконує базову розвідку та оцінку пристрою після компрометації, Dolphin є досконалішим і вручну розгортається лише для обраних жертв. Обидва бекдори здатні перехоплювати файли зі шляху вказаного в команді, але Dolphin також активно шукає диски та автоматично перехоплює файли з цікавими розширеннями.
Крім цього, удосконалений бекдор може:
- збирати основну інформацію про певний пристрій, включаючи версію операційної системи, список встановлених продуктів безпеки, ім'я користувача та ім'я комп'ютера;
- за замовчуванням шукати всі жорсткі (HDD) та змінні диски (USB), а також створювати списки каталогів та перехоплювати файли розширень;
- знаходити портативні пристрої, наприклад смартфони, через Windows Portable Device API;
- викрадати облікові дані із браузерів;
- записувати натискання клавіатури та робити знімки екрана.
Зрештою, перед завантаженням на Google Drive ці дані зберігаються у зашифрованих ZIP-архівах.
З метою уникнення зараження подібними погрозами фахівці ESET рекомендують дотримуватись основних правил кібербезпеки, зокрема своєчасно оновлювати програмне забезпечення та операційну систему, а також використовувати актуальну версію рішення для захисту.