Spyware - Northkorea

Nordkorea bruger ny “Dolphin” bagdør til at spionere på sydkoreanske mål

Den Nordkorea-forbundne ScarCruft-gruppe er blevet tilskrevet en tidligere udokumenteret bagdør kaldet Dolphin, som trusselsaktøren har brugt mod mål i sit sydlige modstykke.

“Bagdøren […] har en bred vifte af spioneringsfunktioner, herunder overvågning af drev og bærbare enheder og exfiltrering af filer af interesse, keylogging og optagelse af skærmbilleder og stjæle legitimationsoplysninger fra browsere,” sagde ESET-forsker Filip Jurčacko i en ny rapport, der blev offentliggjort i dag.

Dolphin siges at være selektivt implementeret, hvor malware bruger skytjenester som Google Drive til dataeksfiltrering samt kommando-og-kontrol.

Det slovakiske cybersikkerhedsfirma sagde, at det fandt implantatet implementeret som en sidste fase nyttelast som en del af et vandhulsangreb i begyndelsen af 2021 rettet mod en sydkoreansk digital avis.

Kampagnen, der først blev afsløret af Kaspersky og Volexity sidste år, indebar våbenisering af to Internet Explorer-fejl (CVE-2020-1380 og CVE-2021-26411) for at droppe en bagdør ved navn BLUELIGHT.

ScarCruft, også kaldet APT37, InkySquid, Reaper og Ricochet Chollima, er en geopolitisk motiveret APT-gruppe, der har en track record for at angribe regeringsenheder, diplomater og nyhedsorganisationer forbundet med nordkoreanske anliggender. Det har været kendt for at være aktivt siden mindst 2012.

Tidligere i april afslørede cybersikkerhedsfirmaet Stairwell detaljer om et spear-phishing-angreb rettet mod journalister, der dækker landet med det ultimative mål at implementere en malware kaldet GOLDBACKDOOR, der deler overlapninger med en anden ScarCruft-bagdør ved navn BLUELIGHT.

De seneste resultater fra ESET kaster lys over en anden, mere sofistikeret bagdør, der blev leveret til en lille pulje af ofre via BLUELIGHT, hvilket tyder på en meget målrettet spionageoperation.

Dette opnås igen ved at udføre en installationsskalkode, der aktiverer en loader bestående af en Python- og shellcode-komponent, hvoraf sidstnævnte kører en anden shellcode loader for at droppe bagdøren.

“Mens BLUELIGHT-bagdøren udfører grundlæggende rekognoscering og evaluering af den kompromitterede maskine efter udnyttelse, er Dolphin mere sofistikeret og manuelt kun indsat mod udvalgte ofre,” forklarede Jurčacko.

Det, der gør Dolphin meget mere potent end BLUELIGHT, er dens evne til at søge i flytbare enheder og exfiltrere filer af interesse, såsom medier, dokumenter, e-mails og certifikater.

Bagdøren, siden dens oprindelige opdagelse i april 2021, siges at have gennemgået tre på hinanden følgende iterationer, der kommer med sit eget sæt funktionsforbedringer og giver det flere detektionsunddragelsesfunktioner.

“Dolphin er en anden tilføjelse til ScarCrufts omfattende arsenal af bagdøre, der misbruger cloud storage-tjenester,” sagde Jurčacko. “En usædvanlig kapacitet, der findes i tidligere versioner af bagdøren, er muligheden for at ændre indstillingerne for ofrenes Google- og Gmail-konti for at sænke deres sikkerhed, formodentlig for at opretholde kontoadgang for hackerne.”

Kilde: TheHackerNews

Foto: Pexels


Scroll to Top