Il 30 novembre, i ricercatori di ESET hanno scoperto Dolphin, una sofisticata backdoor utilizzata da un gruppo APT denominato ScarCruft, probabilmente legato alla Corea del Nord. Il gruppo, indicato anche come APT37, InkySquid, Reaper e Ricochet Chollima, è noto per attaccare enti governativi, diplomatici e organizzazioni giornalistiche in Corea del Sud e in alcuni altri Paesi asiatici. Il gruppo di spionaggio geopolitico è attivo dal 2012 e lavora per compromettere obiettivi legati agli interessi della Corea del Nord. Vale la pena notare che nell’agosto 2021 lo stesso gruppo APT era stato precedentemente individuato mentre utilizzava la variante Konni RAT contro organizzazioni russe, mentre nel dicembre 2019 Microsoft aveva già individuato e smantellato una rete di 50 domini dannosi utilizzati dal gruppo.
Questa volta, la backdoor utilizzata dal gruppo ha un’ampia gamma di capacità di spionaggio che includono il monitoraggio di unità e dispositivi portatili, l’esfiltrazione di file di interesse (come media, documenti, e-mail e certificati), il keylogging, l’acquisizione di screenshot e il furto di credenziali dai browser. Inizialmente, un dispositivo mirato viene compromesso utilizzando un malware meno avanzato, dopodiché la backdoor Dolphin viene distribuita per abusare dei servizi di cloud storage, in particolare Google Drive, per consentire la comunicazione di comando e controllo (C&C). Durante l’indagine, i ricercatori di ESET hanno osservato che le versioni precedenti della backdoor non segnalate erano in grado di modificare le impostazioni degli account Google e Gmail delle vittime per abbassarne la sicurezza, al fine di ottenere l’accesso alle caselle di posta elettronica delle vittime.
Inoltre, cerca i file interessanti nelle unità dei sistemi compromessi e li infiltra in Google Drive. Questo non dovrebbe sorprendere, dato che Google Drive è responsabile del 50% dei download di documenti dannosi. È stato individuato per la prima volta dalla società di cybersicurezza slovacca all’inizio del 2021 e distribuito come payload finale nell’ambito di un attacco watering hole contro un giornale digitale sudcoreano. La campagna sfruttava due falle di Internet Explorer (CVE-2020-1380 e CVE-2021-26411) per rilasciare una backdoor denominata BLUELIGHT. Sebbene sia stato creato dallo stesso gruppo APT, BLUELIGHT non è così avanzato come Dolphin e viene utilizzato solo per eseguire uno shellcode di installazione che attiva un loader comprendente un componente Python e uno shellcode, quest’ultimo esegue un altro loader di shellcode per rilasciare la backdoor Dolphin.
L’APT37 nordcoreano scatena la backdoor Dolphin nella Corea del Sud
“Mentre la backdoor BLUELIGHT esegue una ricognizione di base e una valutazione del computer compromesso dopo lo sfruttamento, Dolphin è più sofisticata e viene distribuita manualmente solo contro vittime selezionate”, ha spiegato il ricercatore ESET Filip Jurčacko in un post sul blog. Da quando è stato scoperto nell’aprile del 2021, Dolphin ha subito tre successive iterazioni che ne hanno migliorato le caratteristiche e garantito maggiori capacità di eludere il rilevamento. “Dolphin è un’altra aggiunta al vasto arsenale di backdoor di ScarCruft che abusa dei servizi di cloud storage”, ha dichiarato Jurčacko. “Una capacità insolita riscontrata nelle versioni precedenti della backdoor è quella di modificare le impostazioni degli account Google e Gmail delle vittime per abbassarne la sicurezza, presumibilmente per mantenere l’accesso agli account per gli attori della minaccia”.
