· Onderzoekers van ESET analyseerden Dolphin, een niet eerder gemelde backdoor
gebruikt door de ScarCruft APT-groep.
· Dolphin telt veel spionagemogelijkheden: monitoren van schijven en
draagbare toestellen, exfiltreren van
bestanden, keylogging, screenshots nemen en stelen van inloggegevens van
browsers.
· Dolphin wordt enkel op specifieke doelen ingezet; het doorzoekt de
schijven van gecompromitteerde systemen op interessante bestanden en
exfiltreert die naar Google Drive.
· ScarCruft, ook als APT37 of Reaper bekend, is een spionagegroep die al
sinds 2012 actief is. Het richt zich voornamelijk op Zuid-Korea. Wat ScarCruf interesseert,
lijkt verband te hebben met de belangen van Noord-Korea.
· De backdoor werd begin 2021 gebruikt als de laatste lading van een
meertrapsaanval. Hierbij waren een watering hole-aanval op een Zuid-Koreaanse
online krant, een Internet Explorer-exploit en een andere ScarCruft-backdoor – BLUELIGHT-
betrokken.
· Sinds de eerste ontdekking van Dolphin in april 2021, hebben
onderzoekers van ESET meerdere versies van deze backdoor waargenomen waarin de
mogelijkheden ervan verbeterd waren en pogingen gedaan werden om detectie te
omzeilen.
· Een opvallend kenmerk van vroegere Dolphin-versies is de mogelijkheid om
de instellingen van de ingelogde Google- en Gmail-accounts van slachtoffers te
wijzigen en zo hun beveiliging te verminderen.
ESET-onderzoekers analyseerden een nog niet gemelde geavanceerde backdoor gebruikt door de ScarCruft APT-groep. Deze backdoor, door ESET Dolphin genoemd, beschikt over een brede waaier aan spionagemogelijkheden: monitoren van schijven en draagbare toestellen, exfiltreren van bestanden, keylogging, maken van screenshots en stelen van inloggegevens van browsers. Deze functionaliteiten zijn voorbehouden voor geselecteerde doelen, waarop de backdoor wordt ingezet na een eerste aanval met behulp van eenvoudiger malware. Dolphin misbruikt cloudopslagdiensten zoals Google Drive, voor Command and Control-communicatie.
ScarCruft, ook als APT37 of Reaper gekend, is een spionagegroep actief sinds 2012. Het richt zich voornamelijk op Zuid-Korea, maar ook andere Aziatische landen zijn een doelwit. ScarCruft lijkt vooral geïnteresseerd in overheids- en militaire organisaties en bedrijven in verschillende industrieën gelinkt aan de belangen van Noord-Korea.
“Nadat het op geselecteerde doelen is ingezet, doorzoekt Dolphin de schijven van gecompromitteerde systemen op interessante bestanden en exfiltreert deze naar Google Drive. Een ongewone functie, aangetroffen in vroegere versies van de backdoor, is de mogelijkheid om de instellingen van de Google- en Gmail-accounts van slachtoffers te wijzigen en hun beveiliging te verlagen om toegang tot Gmail-accounts te behouden voor de aanvallers”, zegt Filip Jurčacko, de ESET-onderzoeker die de backdoor analyseerde.
In 2021 voerde ScarCruft een “watering hole”-aanval uit op een Zuid-Koreaanse online krant gericht op Noord-Korea. De aanval bestond uit meerdere componenten, waaronder een Internet Explorer-exploit en shellcode die leidden tot een backdoor BLUELIGHT genaamd.
“In de vorige rapporten werd BLUELIGHT beschreven als de laatste lading van de aanval. Bij het analyseren van die aanval ontdekten we, via ESET-telemetrie, een tweede meer geavanceerde backdoor die via deze eerste backdoor op geselecteerde slachtoffers was gericht. We hebben deze Dolphin genoemd op basis van een PDB-pad in het uitvoerbare bestand”, verduidelijkt Jurčacko.
Sinds de eerste ontdekking van Dolphin, in april 2021, kon ESET-Research meerdere versies van de backdoor waarnemen, waarin de aanvallers de capaciteiten ervan verbeterden en pogingen deden om detectie te omzeilen.
Terwijl BLUELIGHT een basisverkenning en evaluatie van de gecompromitteerde machine uitvoert, is Dolphin geavanceerder en wordt enkel handmatig ingezet tegen geselecteerde slachtoffers. Beide backdoors zijn in staat om bestanden te exfiltreren vanaf een pad gespecificeerd in een commando. Dolphin doorzoekt echter ook actief schijven en exfiltreert automatisch bestanden met interessante extensies.
De backdoor verzamelt basisinformatie over de beoogde machine: versie van het besturingssysteem, de malwareversie, lijst met geïnstalleerde beveiligingsproducten, gebruikersnaam en computernaam. Standaard doorzoekt Dolphin alle vaste (HDD) en niet-vaste schijven (USB's), maakt directorylijsten en exfiltreert bestanden per extensie. Dolphin zoekt ook naar draagbare toestellen, zoals smartphones, via de Windows Portable Device API. De backdoor steelt inloggegevens van browsers en kan keylogging uitvoeren en screenshots maken. Ten slotte plaatst het deze gegevens in gecodeerde ZIP-archieven voordat ze naar Google Drive worden doorgestuurd.
Voor meer technische informatie over de nieuwste ScarCruft APT-groepscampagne ga naar de blog
“Who’s
swimming in South Korean waters? Meet ScarCruft’s Dolphin” op www.WeLiveSecurity.
Volg ook ESET Research on Twitter voor
de nieuwste info over ESET Research.
Over ESET
Al meer dan 30 jaar ontwikkelt ESET® geavanceerde IT-beveiligingssoftware en
-diensten om bedrijven, kritieke infrastructuur en consumenten wereldwijd te
beschermen tegen steeds meer gesofisticeerde digitale dreigingen. Van endpoint-
en mobiele beveiliging tot detectie en respons van endpoints, encryptie en
multi-factor authenticatie, beschermen en bewaken ESET's krachtige,
gebruiksvriendelijke oplossingen discreet 24/7. Ze updaten in realtime de
verdediging om ononderbroken gebruikers en ondernemingen te beveiligingen.
De constant veranderende bedreigingen
vragen een schaalbare provider van IT-beveiliging zodat technologie veilig kan
gebruikt worden. Dit wordt ondersteund door ESET’s R & D-centra over de
hele wereld. Deze zetten zich in om onze gemeenschappelijke toekomst te
ondersteunen.
Voor meer informatie bezoek www.eset.com of volg het nieuws op LinkedIn, Facebook, en Twitter.
Om meer te vernemen over de
ESET-oplossingen, bezoek https://www.est.com/be-nl/