• ESET 的研究人员发现了一个名为 Dolphin 的新后门，这是 ScarCruft APT 组织使用的一个以前未报告的后门。
• Dolphin 仅用于选定的目标，并在受感染系统的驱动器中搜索有趣的文件并将它们泄露到 Google Drive。
• Dolphin 被用作 2021 年初联合攻击的最终有效载荷，涉及对韩国在线报纸的水坑攻击、Internet Explorer 漏洞利用和另一个名为 Bluelight 的 ScarCruft 后门。

---

ESET的网络安全团队在调查另一个名为 Bluelight 的后门时，公布了一个名为 Dolphin 的新型复杂后门。该研究报告发表在博客文章中，以深入了解新发现的后门 Dolphin 的性能。

目标主要来自韩国

ESET 网络安全团队发现 ScarCruft APT 组织使用了 Dolphin 后门。该组织也称为 APT37 或 Reaper。它主要关注来自韩国以及其他一些也面临攻击的亚洲国家的受害者。研究人员表示，Dolphin 被用作 2021 年初多阶段攻击的最终有效载荷，该攻击涉及对韩国在线报纸的水坑攻击，这是 Internet Explorer 利用另一个名为 Bluelight 的 ScarCruft 后门进行的攻击。Bluelight 先前由 Volexity 和 Kaspersky 报告。

海豚更复杂

ESET 研究人员表示，虽然 Bluelight 对受害者进行基本监视，但 Dolphin 会积极挖掘受感染系统的驱动器以获取感兴趣的文件，并将它们泄露到 Google Drive。Dolphin 的其他功能包括键盘记录、屏幕截图和从浏览器窃取凭据。据分析，一些 Dolphin 版本可以降低已登录 Gmail 帐户的安全性，很可能是为了保持其对受害者收件箱的访问权限。为此，后门程序会从浏览器中窃取登录帐户的现有 cookie，并提出修改设置的请求。博客文章指出；

« Dolphin 是一个后门，可以收集信息并执行其操作员发出的命令。后门是用 C++ 编写的常规 Windows 可执行文件。它与用作其 C&C 服务器的 Google Drive云存储进行通信。我们根据在可执行文件中找到的 PDB 路径命名后门 Dolphin：D:\Development\BACKDOOR\Dolphin\x64\Release\Dolphin.pdb »

研究小组发现，自 2021 年 4 月首次发现后门以来，Dolphin 已经改进了后门的功能。目前，Dolphin 能够收集当前后门配置、用户名、计算机名称、本地和外部 IP 地址、已安装的安全产品列表、RAM 大小和使用情况、调试器和其他检查工具（例如 Wireshark）的检查结果、操作系统版本、当前时间和恶意软件版本。ESET 研究团队补充说，Dolphin 是 ScarCruft 滥用云存储服务的广泛后门库的又一新成员。