安全研究人员发现了一个以前不为人知的后门,他们称之为 Dophin,朝鲜黑客在一年多的时间里一直在高度针对性的行动中使用它来窃取文件并将它们发送到 Google Drive 存储。
根据网络安全公司 ESET 的研究,APT 37 威胁组织(又名 Reaper、Red Eyes、Erebus、ScarCruft)使用新发现的恶意软件来攻击非常特定的实体。自 2012 年以来,该组织一直与符合朝鲜利益的间谍活动有关。
研究人员于 2021 年 4 月发现了 Doplphin,并观察到它演化为具有改进代码和反检测机制的新版本。
超越蓝光
Dolphin 与 BLUELIGHT 一起使用,BLUELIGHT 是以前 APT37 活动中出现的一种基本侦察工具,但它具有更强大的功能,例如从 Web 浏览器(密码)窃取信息、截屏和记录击键。
BLUELIGHT 用于在受感染的系统上启动 Dolphin 的 Python 加载程序,但在间谍活动中的作用有限。
Python 加载器包括脚本和 shellcode,启动多步 XOR 解密、进程创建等,最终导致在新创建的内存进程中执行 Dolphin 有效负载。
(ESET)
Dolphin 是一个 C++ 可执行文件,使用 Google Drive 作为命令和控制 (C2) 服务器并存储被盗文件。该恶意软件通过修改 Windows 注册表来建立持久性。
海豚能力
在初始阶段,Dolphin 从受感染的机器上收集以下信息:
- 用户名
- 计算机名称
- 本地和外部 IP 地址
- 安装的安全软件
- 内存大小和使用
- 存在调试或网络数据包检测工具
- 操作系统版本
后门还会向 C2 发送其当前配置、版本号和时间。
该配置包含键盘记录和文件泄露说明、Google Drive API 访问凭据和加密密钥。
研究人员表示,黑客通过将命令上传到 Google Drive 将命令发送给 Dolphin。作为响应,后门会上传执行命令的结果。
该恶意软件具有一组扩展功能,包括扫描本地和可移动驱动器以查找存档并传送到 Google Drive 的各种类型的数据(媒体、文档、电子邮件、证书)。进一步改进了此功能以按扩展名过滤数据。
从连接的手机窃取文件
它的搜索功能扩展到通过使用 Windows 便携式设备 API 连接到受感染主机的任何电话。
ESET 指出,他们发现的第一个恶意软件版本似乎正在开发此功能。指向这一点的证据是:
- 使用受害者计算机上可能不存在的用户名的硬编码路径
- 缺少变量初始化——一些变量被假定为零初始化,或者在没有初始化的情况下被取消引用为指针
- 缺少扩展过滤
此外,它还可以通过更改相关设置来降低受害者 Google 帐户的安全性。这可能使攻击者可以更长时间地访问受害者帐户
Dophin 可以通过滥用“GetAsyncKeyState”API 在 Google Chrome 中记录用户击键,并且可以每 30 秒拍摄一次活动窗口的快照。
ESET 研究人员捕获了 Dolphin 后门的四个不同版本,最新版本是 2022 年 1 月的 3.0。
鉴于已针对特定目标部署了后门,因此可能存在更新版本的 Dolphin 并已用于攻击。
据研究人员称,该恶意软件被用于对一份报道与朝鲜相关活动和事件的韩国报纸进行水坑攻击。黑客依靠 Internet Explorer 漏洞最终将 Dolphin 后门传送到目标主机。
ESET 的报告提供了 Dolphin 后门版本 1.9 到 3.0(86/64 位)的哈希列表。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 新的Windows恶意软件扫描受害者的手机以窃取数据
