Son zamanlarda ESET’teki siber güvenlik uzmanları, Kuzey Koreli bilgisayar korsanlarının Dolphin adlı daha önce bilinmeyen bir arka kapıyı aktif olarak kullandıklarını tespit etti. Bu arka kapı, bir yılı aşkın bir süredir Güney Koreli hedeflere karşı yüksek hedefli operasyonlar gerçekleştirmek için kullanılıyor.
Bilgisayar korsanlarının, dosyaları çalmak ve bu süreçte Google Drive’da depolamak için öncelikle bu kötü niyetli operasyonda Dolphin kötü amaçlı yazılımını kullandığı görülüyor.
Dolphin karmaşık bir kötü amaçlı yazılım olduğundan, bilgisayar korsanları onu yalnızca belirli hedeflere karşı kullanır. Bu kötü amaçlı yazılım, daha az gelişmiş kötü amaçlı yazılımın başlangıçta arka kapıyı dağıtmak için güvenliği aşıldıktan sonra kullanılır.
ScarCruft Group’tan Dolphin Kötü Amaçlı Yazılım
Bunun dışında siber güvenlik analistleri, bu kötü amaçlı yazılımın arkasındaki operatörün ScarCruft grubu olduğunu ve bu grubun başka isimlerle de bilindiğini güçlü bir şekilde ima etti ve spekülasyon yaptı: –
- APT37
- Azrail
- Kırmızı gözler
- Erebus
Grubun 2012’den beri Kuzey Kore hükümetinin çıkarları doğrultusunda casusluk faaliyetlerinde bulunduğu bildirildi.
Nisan 2021’de araştırmacılar ilk kez Dolphin kötü amaçlı yazılımını keşfetti. Sonraki aylarda, Dolphin’in yeni sürümlerini piyasaya sürmek için kodunu ve algılama önleme mekanizmalarını da geliştirdiğini gözlemlediler.
Siber saldırıda aşağıdakiler de dahil olmak üzere bir dizi bileşen kullanıldı: –
- Internet Explorer için bir istismar
- Kabuk kodu
Bu bileşenlerden kaynaklanan BLUELIGHT adlı bir arka kapı varken. Saldırının son yükü olarak BLUELIGHT arka kapısı tanımlandı.
Güvenliği ihlal edilmiş bir sistemde Dolphin’in Python yükleyicisi, bir casusluk operasyonunun parçası olarak BLUELIGHT kullanan bilgisayar korsanları tarafından başlatılır. Ancak casusluk operasyonları açısından yükleyici çok önemli bir bileşen değildir.
Dolphin’in Yetenekleri
Dolphin’de çok çeşitli casusluk özellikleri ve yetenekleri mevcuttur ve aşağıda bunlardan bahsetmiştik: –
- Sürücüleri izleme
- OS sürümü
- Taşınabilir cihazları izleme
- Dışarı sızan ilgi çekici dosyalar
- RAM boyutunu ve kullanım verilerini toplayın
- Yerel ve harici bir IP adresi edinin
- Keylogging
- Ekran görüntüsü alma
- Kimlik bilgilerini tarayıcılardan çalmak
- Kurulu güvenlik ürünlerinin listesi
- Hata ayıklayıcı ve diğer inceleme araçları (Wireshark gibi) için yapılan kontrolün sonucu
- Şimdiki zaman
- Kullanıcı adı
Yunusun Evrimi
Dolphin, C++ ile yazılmış bir yürütülebilir dosyadır ve şu anda Google Drive’ı iki amaçla kullanmaktadır:-
- C2 sunucusu olarak
- Çalınan dosyaları saklamak için
Ayrıca, kötü amaçlı yazılımın Windows kayıt defterini değiştirebilmesi sonucunda kalıcılık sağlanabilir. Dolphin’in Nisan 2021’deki ilk keşfinden bu yana geçen yıllar içinde modifiye edildiği gözlemlendi.
Güvenlik analistleri, keşfinden bu yana Dolphin’in birden çok sürümünü gözlemlediklerini bile iddia ettiler.
Dolphin arka kapısı, en sonuncusu ESET araştırmacıları tarafından yakalanan Ocak 2022 tarihli 3.0 olmak üzere dört farklı sürümde tespit edildi.
Bu, ScarCruft’un kapsamlı arka kapı cephaneliğiyle bulut depolama hizmetlerinden nasıl yararlanabildiğinin bir başka örneğidir.
Güvenli Web Ağ Geçidi – Web Filtresi Kuralları, Etkinlik İzleme ve Kötü Amaçlı Yazılımdan Koruma – Ücretsiz E-Kitap İndirin