Исследователи ESET проанализировали ранее не сообщавшийся бэкдор, используемый APT-группой ScarCruft. Бэкдор, который мы назвали Dolphin, обладает широким спектром шпионских возможностей, включая мониторинг дисков и портативных устройств и извлечение интересующих файлов, кейлоггинг и создание скриншотов, а также кражу учетных данных из браузеров. Его функциональность зарезервирована для избранных целей, на которые бэкдор устанавливается после первоначальной компрометации с помощью менее продвинутых вредоносных программ. Как и другие инструменты ScarCruft, Dolphin использует облачные сервисы хранения данных - в частности, Google Drive - для связи C&C.
- Dolphin устанавливается только на избранные цели; он ищет на дисках скомпрометированных систем интересные файлы и эксфильтрирует их в Google Drive.
- Бэкдор использовался в качестве конечной полезной нагрузки в многоступенчатой атаке в начале 2021 года, включавшей в себя атаку на южнокорейскую онлайн-газету, эксплойт для Internet Explorer и другой бэкдор ScarCruft под названием BLUELIGHT.
- С момента первоначального обнаружения Dolphin в апреле 2021 года исследователи ESET наблюдали множество версий бэкдора, в которых субъекты угроз улучшали возможности бэкдора и предпринимали попытки уклониться от обнаружения.
- Примечательной особенностью ранних версий Dolphin, является возможность изменять настройки авторизованных учетных записей Google и Gmail жертв для снижения уровня их безопасности.
Indicators of Compromise
SHA1
- 21ca0287ec5eaee8fb2f5d0542e378267d6ca0a6
- 2c6cc71b7e7e4b28c2c176b504bc5bdb687c4d41
- 5b70453ab58824a65ed0b6175c903aa022a87d6a
- d9a369e328ea4f1b8304b6e11b50275f798e9d6b
- f9f6c0184cee9c1e4e15c2a73e56d7b927ea685b