30 Kasım’da ESET araştırmacıları, ScarCruft adlı bir APT grubu tarafından kullanılan ve büyük ihtimalle Kuzey Kore.
APT37, InkySquid, Reaper ve Ricochet Chollima olarak da anılan grubun, Güney Kore ve diğer bazı Asya ülkelerinde devlet kurumlarına, diplomatlara ve haber kuruluşlarına saldırdığı biliniyor.
Jeopolitik casusluk grubu, 2012’den beri Kuzey Kore’nin çıkarlarıyla bağlantılı hedefleri tehlikeye atmak için çalışıyor. şunu belirtmekte fayda var Ağustos 2021’deaynı APT grubu daha önce Rus kuruluşlarına karşı Konni RAT varyantını kullanırken bulundu. Aralık 2019’daMicrosoft, grup tarafından kullanılan 50 kötü amaçlı etki alanından oluşan bir ağı zaten tespit etmiş ve ortadan kaldırmıştı.
Bu kez, grup tarafından kullanılan arka kapı, sürücüleri ve taşınabilir cihazları izleme, ilgili dosyaları (medya, belgeler, e-postalar ve sertifikalar gibi) dışarı sızdırma, keylogging, ekran görüntüleri alma ve kimlik bilgilerini çalmayı içeren çok çeşitli casusluk yeteneklerine sahiptir. tarayıcılardan.
Başlangıçta, hedeflenen bir cihazın güvenliği daha az gelişmiş kötü amaçlı yazılım kullanılarak ele geçirilir ve ardından, özellikle bulut depolama hizmetlerini kötüye kullanmak için Dolphin arka kapısı devreye alınır. Google sürücüKomuta ve Kontrol (C&C) iletişimine izin vermek için.
ESET araştırmacıları, araştırmaları sırasında, daha önce bildirilmeyen arka kapının eski sürümlerinin, kurbanların e-posta gelen kutularına erişim elde etmek için kurbanların oturum açmış Google ve Gmail hesaplarının ayarlarını değiştirerek güvenliklerini azaltabildiğini gözlemledi.
Ayrıca, güvenliği ihlal edilmiş sistemlerin sürücülerinde ilginç dosyalar arar ve bunları Google Drive’a sızdırır. Bu sürpriz olmamalı çünkü Google Drive’ın %50’si hesaplanıyor kötü amaçlı belge indirmeleri.
İlk olarak 2021’in başlarında Slovak siber güvenlik şirketi tarafından bulundu ve Güney Koreli bir dijital gazeteye yönelik bir su kuyusu saldırısının parçası olarak son aşama bir yük olarak konuşlandırıldı. Kampanya, iki Internet Explorer açığından yararlandı (CVE-2020-1380 ve CVE-2021-26411) BLUELIGHT adlı bir arka kapıyı açmak için.
Aynı APT Grubu tarafından yapılmış olmasına rağmen BLUELIGHT, Dolphin kadar gelişmiş değildir ve yalnızca bir Python ve kabuk kodu bileşeni içeren bir yükleyiciyi etkinleştiren bir yükleyici kabuk kodunu yürütmek için kullanılır; ikincisi Dolphin arka kapısını bırakmak için başka bir kabuk kodu yükleyicisini çalıştırır.
ESET araştırmacısı Filip Jurčacko yaptığı bir açıklamada, “BLUELIGHT arka kapısı, tehlikeye atılan makinenin istismardan sonra temel keşif ve değerlendirmesini gerçekleştirirken, Dolphin daha sofistike ve yalnızca seçilen kurbanlara karşı manuel olarak konuşlandırılıyor” dedi. Blog yazısı.
İlk olarak Nisan 2021’de keşfedildiğinden beri Dolphin, özelliklerini iyileştiren ve ona tespitten kaçması için daha fazla yetenek sağlayan üç ardışık yinelemeden geçti.
Jurčacko, “Dolphin, ScarCruft’un bulut depolama hizmetlerini kötüye kullanan kapsamlı arka kapı cephaneliğine bir başka ektir” dedi. “Arka kapının önceki sürümlerinde bulunan sıra dışı bir yetenek, muhtemelen tehdit aktörlerinin hesap erişimini sürdürmek amacıyla kurbanların Google ve Gmail hesaplarının ayarlarını değiştirerek güvenliklerini azaltabilme yeteneğidir.”
Alakalı haberler
- N. Koreli bilgisayar korsanları, kripto para borsalarından 1,7 milyar dolar çaldı
- N. Kore Radyo İstasyonu “Son Geri Sayım”ı Çalmak İçin Hacklendi
- ABD, Firmaları Bilişim Çalışanı Kılığına Giren Kuzey Koreli Bilgisayar Korsanları Hakkında Uyardı
- K. Koreli bilgisayar korsanları, S Kore atom teşkilatını hacklemek için VPN kusurlarını kullandı
- Elite N. Koreliler, finansal kazanç için internetten yararlanmaya karşı değiller