Ερευνητές ασφαλείας βρήκαν ένα άγνωστο μέχρι τώρα backdoor που το ονόμασαν Dolphin, και το οποίο χρησιμοποιείται από Βορειοκορεάτες hackers (APT37) σε εξαιρετικά στοχευμένες επιθέσεις. Οι ειδικοί ισχυρίζονται ότι το Dolphin χρησιμοποιείται για πάνω από ένα χρόνο για την κλοπή αρχείων.
Σύμφωνα με έρευνα της εταιρείας ESET, η ομάδα απειλών APT37 (γνωστή και ως Reaper, Red Eyes, Erebus, ScarCruft) χρησιμοποίησε το backdoor εναντίον πολύ συγκεκριμένων οντοτήτων. Οι συγκεκριμένοι hackers έχουν συνδεθεί με κατασκοπευτική δραστηριότητα που συνάδει με τα συμφέροντα της Βόρειας Κορέας από το 2012.
Οι ερευνητές βρήκαν το Dolphin τον Απρίλιο του 2021 και παρατήρησαν ότι δημιουργούνται συνεχώς νέες εκδόσεις με βελτιωμένο κώδικα και μηχανισμούς που δυσκολεύουν την ανίχνευση.
Δείτε επίσης: Πώς συνδέεται το Σουδάν με το σκάνδαλο Predator που συγκλονίζει την Ελλάδα
){kind=link}
Η έρευνα έδειξε ότι το Dolphin χρησιμοποιείται μαζί με το BLUELIGHT, ένα reconnaissance tool που έχει εντοπιστεί και σε προηγούμενες κακόβουλες καμπάνιες της APT37, αλλά διαθέτει πιο ισχυρές δυνατότητες όπως κλοπή πληροφοριών από προγράμματα περιήγησης ιστού (κωδικοί πρόσβασης), λήψη screenshots και καταγραφή πληκτρολογήσεων.
Το BLUELIGHT χρησιμοποιείται για την εκκίνηση του Dolphin’s Python loader σε ένα παραβιασμένο σύστημα, αλλά έχει περιορισμένο ρόλο στις επιχειρήσεις κατασκοπείας.
Το Python loader περιλαμβάνει ένα script και ένα shellcode, εκκινώντας XOR-decryption πολλαπλών βημάτων, δημιουργία διεργασιών κ.λπ. Καταλήγει στην εκτέλεση του Dolphin payload σε ένα memory process που δημιουργήθηκε πρόσφατα.
Το Dolphin backdoor είναι ένα εκτελέσιμο C++ που χρησιμοποιεί το Google Drive ως command and control (C2) server και για την αποθήκευση κλεμμένων αρχείων. Σύμφωνα με τους ερευνητές, το κακόβουλο λογισμικό δημιουργεί persistence τροποποιώντας το Windows Registry.
Dolphin backdoor δυνατότητες
Κατά το αρχικό στάδιο, το Dolphin συλλέγει τις ακόλουθες πληροφορίες από το μολυσμένο μηχάνημα:
- Όνομα χρήστη
- Όνομα υπολογιστή
- Local και external IP
- Έκδοση λειτουργικού συστήματος
- Εγκατεστημένο λογισμικό ασφαλείας
- Μέγεθος RAM και χρήση
- Παρουσία εργαλείων εντοπισμού σφαλμάτων ή network packet inspection tools
Σύμφωνα με τους ερευνητές ασφαλείας, το backdoor στέλνει επίσης στο C2 την τρέχουσα διαμόρφωση, τον αριθμό έκδοσης και την ώρα.
Δείτε επίσης: Keralty healthcare: Θύμα επίθεσης ransomware της RansomHouse
Το configuration περιέχει οδηγίες keylogging και εξαγωγής αρχείων, credentials για πρόσβαση στο Google Drive API και encryption keys.
Οι ερευνητές λένε ότι οι hackers παρέδωσαν τις εντολές τους στο Dolphin ανεβάζοντάς τις στο Google Drive. Σε απόκριση, το backdoor κάνει upload το αποτέλεσμα από την εκτέλεση των εντολών.
Dolphin backdoor: Κλοπή αρχείων από συνδεδεμένο τηλέφωνο
Οι δυνατότητες αναζήτησής του επεκτείνονται σε οποιοδήποτε τηλέφωνο που είναι συνδεδεμένο στον παραβιασμένο υπολογιστή με τη χρήση του Windows Portable Device API.
Επιπλέον, μπορεί να μειώσει την ασφάλεια του λογαριασμού Google ενός θύματος αλλάζοντας τις σχετικές ρυθμίσεις. Αυτό θα μπορούσε να επιτρέψει στους εισβολείς να διατηρήσουν την πρόσβασή τους στον λογαριασμό του θύματος για μεγαλύτερο χρονικό διάστημα.
Το Dolphin backdoor μπορεί να καταγράφει πληκτρολογήσεις στο Google Chrome κάνοντας κατάχρηση του API “GetAsyncKeyState” και μπορεί να τραβήξει ένα snapshot του ενεργού παραθύρου κάθε 30 δευτερόλεπτα.
Οι ερευνητές της ESET εντόπισαν τέσσερις διαφορετικές εκδόσεις για το Dolphin backdoor. Είναι πιθανό να υπάρχουν και άλλες εκδόσεις και να έχουν χρησιμοποιηθεί σε επιθέσεις.
Περισσότερες λεπτομέρειες μπορείτε να βρείτε στην έκθεση της ESET.
Δείτε επίσης: Η ομάδα CashRewindo πραγματοποιεί πετυχημένες καμπάνιες malvertising
Τα backdoors χρησιμοποιούνται συχνά από τους επιτιθέμενους για να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση σε συστήματα και να εκτελέσουν διάφορες κακόβουλες δραστηριότητες, όπως εξαπόλυση πρόσθετων επιθέσεων, κλοπή ευαίσθητων δεδομένων ή απομακρυσμένο έλεγχο των υπολογιστών του θύματος. Τα backdoors μπορεί να είναι δύσκολο να εντοπιστούν και να αφαιρεθούν μετά την εγκατάστασή τους, γι’ αυτό είναι σημαντικό για τους οργανισμούς να εφαρμόζουν ισχυρά μέτρα ασφαλείας που μπορούν να αποτρέψουν την εγκατάστασή τους εξαρχής.
Πηγή: www.bleepingcomputer.com