ESET Research : un groupe lié à la Corée du Nord lance Dolphin, porte dérobée qui vole des fichiers et communique via Google Drive
Publié le 30/11/2022 Dans Press Releases
Le texte suivant est issu d'un communiqué de presse et ne reflète en rien l'opinion de la rédaction.
ESET Research : un groupe lié à la Corée du Nord lance Dolphin, porte dérobée qui vole des fichiers et communique via Google Drive

• Les chercheurs d'ESET ont analysé Dolphin, une porte dérobée encore inconnue utilisée par le groupe ScarCruft APT.
• Dolphin possède de nombreuses capacités d'espionnage : la surveillance des disques et appareils portables, l'exfiltration de fichiers, l'enregistrement des frappes, les captures d'écran et le vol des informations d'identification des navigateurs.
• Dolphin est déployé uniquement sur des cibles sélectionnées ; dans les disques des systèmes compromis elle recherche des fichiers intéressants et les exfiltre vers Google Drive.
• ScarCruft, aussi connu sous les noms APT37 ou Reaper, est un groupe d'espionnage actif depuis au moins 2012, concentré principalement sur la Corée du Sud. Ce qui intéresse ScarCruft semble lié aux intérêts de la Corée du Nord.
• La porte dérobée a été utilisée, début 2021, comme charge utile finale d'une attaque en plusieurs étapes. Ceci impliquait une attaque « Watering hole » (par point d'eau) contre un journal sud-coréen en ligne, un exploit Internet Explorer et BLUELIGHT, une autre porte dérobée de ScarCruft.
• Depuis la première découverte de Dolphin en avril 2021, les chercheurs d'ESET ont vu plusieurs versions de cette porte dans lesquelles les capacités ont été améliorées pour tenter d'échapper à la détection.
• Une caractéristique importante des versions antérieures de Dolphin est la possibilité de modifier les paramètres des comptes connectés Google et Gmail des victimes pour réduire leur sécurité.


BRATISLAVA, le 30 novembre 2022 — Les chercheurs d'ESET ont analysé une porte dérobée sophistiquée encore inconnue, utilisée par le groupe ScarCruft APT. Cette porte, qu'ESET a nommée Dolphin, dispose d'un large éventail de capacités d'espionnage, dont la surveillance de disques et d’appareils portables, l'exfiltration de fichiers, l'enregistrement des frappes, la capture d'écran et le vol d’informations d'identification des navigateurs. Sa fonctionnalité est réservée pour des cibles spécifiques, sur lesquelles elle est déployée après une compromission initiale par des malwares moins avancés. Dolphin abuse des services de stockage cloud - en particulier Google Drive - pour la communication de commande et de contrôle.

ScarCruft, aussi connu sous les noms APT37 et Reaper, est un groupe d'espionnage actif depuis au moins 2012. Il se concentre sur la Corée du Sud, mais d'autres pays asiatiques ont également été ciblés. Il semble s'intéresser principalement aux organisations gouvernementales et militaires, ainsi qu'aux entreprises de diverses industries liées aux intérêts de la Corée du Nord.

En 2021, ScarCruft a mené une attaque « Watering hole » (par point d'eau) contre un journal en ligne sud-coréen axé sur la Corée du Nord. L'attaque consistait en plusieurs composants, dont un exploit d'Internet Explorer et un shellcode menant à une porte dérobée nommée BLUELIGHT.

"Après avoir été déployé sur des cibles sélectionnées, elle recherche des fichiers intéressants sur les disques des systèmes compromis et les exfiltre sur Google Drive. Une capacité inhabituelle dans les versions précédentes de la porte est de pouvoir modifier les paramètres des comptes Google et Gmail des victimes pour réduire leur sécurité et préserver l'accès au compte Gmail pour les acteurs de la menace », explique Filip Jurčacko, le chercheur d'ESET qui a analysé cette porte.

« Dans les rapports précédents, BLUELIGHT était décrite comme la charge utile finale de l'attaque. Mais, lors de l'analyse de l'attaque, on a découvert via la télémétrie ESET une deuxième porte dérobée plus sophistiquée, déployée sur des victimes sélectionnées via la première porte. Cette porte a été nommée Dolphin suite au chemin PDB trouvé dans l'exécutable », explique Jurčacko.

Depuis la première découverte de Dolphin en avril 2021, les chercheurs d'ESET ont observé plusieurs versions de la porte dérobée, dans lesquelles les capacités ont été amélioré pour tenter d'échapper à la détection.

Alors que BLUELIGHT effectue une reconnaissance et une évaluation basique de la machine compromise après son exploitation, Dolphin - plus sophistiquée - est déployée manuellement uniquement contre des victimes sélectionnées. Les deux portes dérobées sont capables d'exfiltrer des fichiers à partir d'un chemin spécifié dans une commande, mais Dolphin recherche aussi activement des disques et exfiltre automatiquement des fichiers avec extensions intéressantes.

La porte collecte des informations basiques sur la machine ciblée : version du système d'exploitation, version du logiciel malveillant, liste des produits sécuritaires installés, nom de l'utilisateur et nom de l'ordinateur. Par défaut, Dolphin recherche tous les disques fixes (HDD) et non fixes (USB), crée des listes de répertoires et exfiltre les fichiers par extension. Via l'API Windows Portable Device, Dolphin recherche aussi des appareils portables tels que des smartphones. La porte dérobée vole les informations d'identification des navigateurs et peut enregistrer des frappes et faire des captures d'écran. Elle stocke ces données dans des archives ZIP cryptées avant de les télécharger sur Google Drive.

Pour plus d'informations techniques sur la campagne du groupe ScarCruft APT, consultez le blog « Who’s swimming in South Korean waters? Meet ScarCruft’s Dolphin”» sur www.WeliveSecurity. Suivez aussi ESET Research on Twitter pour les toutes dernières nouvelles d'ESET Research.

A propos d’ESET Depuis plus de 30 ans, ESET® développe des logiciels et des services de sécurité informatique de pointe pour protéger les entreprises, les infrastructures critiques et les consommateurs du monde entier contre les menaces numériques toujours plus sophistiquées. De la sécurité des terminaux et des mobiles à l'EDR en passant par le chiffrement, l'authentification à double facteur, les solutions légères et performantes d'ESET protègent et surveillent 24/7, mettant à jour, en temps réel, les défenses afin d’assurer sans interruption la sécurité des utilisateurs et des entreprises. L'évolution constante des menaces nécessite un fournisseur de sécurité informatique évolutif qui permet d’utiliser la technologie de façon sûre. Ceci est supporté par les centres de R&D d'ESET dans le monde entier, travaillant à soutenir notre avenir commun. Pour plus d’information visitez www.eset.com , ou suivez-nous sur LinkedIn, Facebook, Instagram et https://www.eset.com/be-fr/

Poster un commentaire
Vous devez être identifié pour accéder à cette fonctionnalité

Utilisateur
Mot de passe
 
Informaticien.be - © 2002-2023 AkretioSPRL  - Generated via Kelare
The Akretio Network: Akretio - Freedelity - KelCommerce - Votre publicité sur informaticien.be ?