•  ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ ДЛЯ ГОСУДАРСТВЕННОГО СЕКТОРА ЭКОНОМИКИ, ЧАСТНОГО БИЗНЕСА, ГРАЖДАН РОССИЙСКОЙ ФЕДЕРАЦИИ  
Исследование ESET: группа, связанная с Северной Кореей, запускает бэкдор Dolphin, крадет интересующие файлы и общается через Google Диск

Исследование ESET: группа, связанная с Северной Кореей, запускает бэкдор Dolphin, крадет интересующие файлы и общается через Google Диск

Исследователи ESET проанализировали ранее неизвестный сложный бэкдор, используемый APT-группой ScarCruft. Бэкдор, который ESET назвала Dolphin, имеет широкий спектр шпионских возможностей, включая мониторинг дисков и портативных устройств, извлечение интересующих файлов, регистрацию клавиатуры, создание снимков экрана и кражу учетных данных из браузеров. Его функциональность зарезервирована для выбранных целей, на которые бэкдор развертывается после первоначальной компрометации с использованием менее сложного вредоносного ПО. Dolphin злоупотребляет облачными хранилищами — в частности, Google Drive — для управления и контроля связи.

"ДАТАСИСТЕМ" ВАШ НАДЕЖНЫЙ ПОСТАВЩИК. С 2001 ГОДА НА РЫНКЕ ИТ. ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ, СЕРВЕРЫ И ПК, СЕТЕВАЯ ИНФРАСТРУКТУРА, СЕРВИС И ТЕХНИЧЕСКАЯ ПОДДЕРЖКА.

logo.jpg   РЕКОМЕНДУЕМЫЕ РЕСУРСЫ:
Программное обеспечение для бизнеса
Программное обеспечение для бизнеса - Каталог ведущих Производителей ПО. Официальная поставка, подбор Решений, тестовые версии, внедрение, техническая поддержка. Подробнее>>
Информационная Безопасность
Антивирусы, защита сетей, шифрование данных, резервное копирование и восстановление информации, управление доступом. Подробнее>>
Системное ПО
Операционные системы для рабочих станций и серверов, решения для виртуализации, удаленный доступ, администрирование, коммуникации. Подробнее>>
Графика, Проектирование, дизайн, полиграфия
Графические редакторы, 3d - моделирование, программы для архитекторов и инженеров. Подробнее>>

Юридическим лицам и ИП - Акции, Скидки, Специальные цены для Новых и Постоянных Заказчиков ДАТАСИСТЕМ.

КОММЕНТАРИЙ РЕДАКЦИИ:
 На момент публикации данного материала имеются частичные ограничения использования и поставки Программного Обеспечения ESET NOD32 в Российской Федерации. Для уточнения возможности купить или продлить лицензию ESET NOD32 отправьте запрос Поставщику (заполните Форму в конце статьи).
Рекомендуем запросить консультацию по подбору ИТ-Решений, аналогичного функционала из числа доступных Российских и Иностранных Производителей (предложение по Программе ИМПОРТОЗАМЕЩЕНИЕ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ).


- Исследователи ESET проанализировали Dolphin, ранее неизвестный бэкдор, используемый APT-группой ScarCruft.
- Dolphin имеет множество шпионских возможностей, в том числе мониторинг дисков и портативных устройств, эксфильтрацию интересующих файлов, регистрацию клавиатуры, создание снимков экрана и кражу учетных данных из браузеров.
- Dolphin развертывается только на выбранных целях; он ищет на дисках скомпрометированных систем интересные файлы и эксфильтрирует их на Google Диск.
- ScarCruft, также известная как APT37 или Reaper, — это шпионская группа, действующая как минимум с 2012 года. В основном она занимается Южной Кореей. Интересы ScarCruft, похоже, связаны с интересами Северной Кореи.
- Бэкдор использовался в качестве последней полезной нагрузки многоэтапной атаки в начале 2021 года, включающей атаку на южнокорейскую интернет-газету, эксплойт для Internet Explorer и еще один бэкдор ScarCruft под названием BLUELIGHT.
- С момента первоначального обнаружения Dolphin в апреле 2021 года исследователи ESET наблюдали несколько версий бэкдора, в которых злоумышленники улучшали возможности бэкдора и пытались избежать обнаружения.
- Примечательной особенностью более ранних версий Dolphin является возможность изменять настройки учетных записей жертв в Google и Gmail, чтобы снизить их безопасность.

ScarCruft, также известная как APT37 или Reaper, — это шпионская группа, действующая как минимум с 2012 года. В первую очередь она занимается Южной Кореей, но и другие азиатские страны также стали ее мишенями. ScarCruft, похоже, интересует в основном правительственные и военные организации, а также компании в различных отраслях, связанные с интересами Северной Кореи.

«После развертывания на выбранных объектах он ищет на дисках скомпрометированных систем интересные файлы и эксфильтрирует их на Google Диск. Одной из необычных возможностей, обнаруженных в предыдущих версиях бэкдора, является возможность изменять настройки учетных записей Google и Gmail жертвы для снижения их безопасности, предположительно для сохранения доступа к учетной записи Gmail для злоумышленников», — говорит исследователь ESET Филип Юрчацко, проанализировавший уязвимость.

В 2021 году ScarCruft провел атаку на южнокорейскую интернет-газету, посвященную Северной Корее. Атака состояла из нескольких компонентов, включая эксплойт для Internet Explorer и шелл-код, ведущий к бэкдору под названием BLUELIGHT.

«В предыдущих отчетах бэкдор BLUELIGHT описывался как последняя полезная нагрузка атаки. Однако при анализе атаки мы обнаружили с помощью телеметрии ESET второй, более сложный бэкдор, развернутый на отдельных жертвах через этот первый бэкдор. Мы назвали этот бэкдор Dolphin на основе пути PDB, найденного в исполняемом файле», — объясняет Юрчацко.

С момента первоначального обнаружения Dolphin в апреле 2021 года исследователи ESET наблюдали несколько версий бэкдора, в которых злоумышленники улучшали возможности бэкдора и пытались избежать обнаружения.
В то время как бэкдор BLUELIGHT выполняет базовую разведку и оценку скомпрометированной машины после эксплуатации, Dolphin более сложен и развертывается вручную только против избранных жертв. Оба бэкдора способны извлекать файлы из пути, указанного в команде, но Dolphin также активно ищет диски и автоматически извлекает файлы с интересными расширениями.

С момента первоначального обнаружения Dolphin в апреле 2021 года исследователи ESET наблюдали несколько версий бэкдора, в которых злоумышленники улучшали возможности бэкдора и пытались избежать обнаружения.В то время как бэкдор BLUELIGHT выполняет базовую разведку и оценку скомпрометированной машины после эксплуатации, Dolphin более сложен и развертывается вручную только против избранных жертв. Оба бэкдора способны извлекать файлы из пути, указанного в команде, но Dolphin также активно ищет диски и автоматически извлекает файлы с интересными расширениями.Бэкдор собирает основную информацию о целевой машине, включая версию операционной системы, версию вредоносного ПО, список установленных продуктов безопасности, имя пользователя и имя компьютера. По умолчанию Dolphin ищет все фиксированные (HDD) и нефиксированные диски (USB), создает списки каталогов и извлекает файлы по расширению. Dolphin также выполняет поиск портативных устройств, таких как смартфоны, с помощью Windows Portable Device API. Бэкдор также крадет учетные данные из браузеров и способен к кейлоггингу и делать скриншоты. Наконец, он помещает эти данные в зашифрованные ZIP-архивы перед загрузкой на Google Диск.

Бэкдор собирает основную информацию о целевой машине, включая версию операционной системы, версию вредоносного ПО, список установленных продуктов безопасности, имя пользователя и имя компьютера. По умолчанию Dolphin ищет все фиксированные (HDD) и нефиксированные диски (USB), создает списки каталогов и извлекает файлы по расширению. Dolphin также выполняет поиск портативных устройств, таких как смартфоны, с помощью Windows Portable Device API. Бэкдор также крадет учетные данные из браузеров и способен к кейлоггингу и делать скриншоты. Наконец, он помещает эти данные в зашифрованные ZIP-архивы перед загрузкой на Google Диск.


Материал подготовлен: ESET NOD32

Акции, Скидки, Специальные цены для Новых и Постоянных Заказчиков ДАТАСИСТЕМ.

logo.jpg   РЕКОМЕНДУЕМЫЕ РЕСУРСЫ:
Программное обеспечение для бизнеса
Программное обеспечение для бизнеса - Каталог ведущих Производителей ПО. Официальная поставка, подбор Решений, тестовые версии, внедрение, техническая поддержка. Подробнее>>
Юридическим лицам и ИП
Акции, Скидки, Специальные цены для Новых и Постоянных Заказчиков ДАТАСИСТЕМ. Подробнее>>
Учебным заведениям
Акции, Скидки, Специальные предложения для Образовательных Учреждений. Подробнее>>
Для Медицины
Акции, Скидки, Специальные предложения для Учреждений Здравоохранения. Подробнее>>
Государственным учреждениям
Акции, Скидки, Специальные предложения для Государственных (Правительственных) Учреждений. Подробнее>>

"ДАТАСИСТЕМ" ВАШ НАДЕЖНЫЙ ПОСТАВЩИК. С 2001 ГОДА НА РЫНКЕ ИТ. ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ, СЕРВЕРЫ И ПК, СЕТЕВАЯ ИНФРАСТРУКТУРА, СЕРВИС И ТЕХНИЧЕСКАЯ ПОДДЕРЖКА.




Нажимая на кнопку, вы даете согласие на обработку персональных данных и соглашаетесь с политикой конфиденциальности

Ваши контактные данные не публикуются на сайте.

Нажимая на кнопку, вы даете согласие на обработку персональных данных и соглашаетесь с политикой конфиденциальности

Популярное

Мы используем куки (cookies) с целью повышения удобства вашей работы с сайтом.

Продолжая работу с сайтом, вы соглашаетесь с нашей политикой конфиденциальности.