最新消息:本站介绍:国外VPS、云服务器,海外服务器,一手资源推荐平台

新的后门Dolphin它与名为ScarCruft APT组的朝鲜网络威胁有关

网络安全 快米云 来源:快米云 206浏览

与朝鲜有关的海豚已被用于韩国的目标

  • ESET 的研究人员发现了一个名为 Dolphin 的新后门,这是 ScarCruft APT 组织使用的一个以前未报告的后门。
  • Dolphin 仅用于选定的目标,并在受感染系统的驱动器中搜索有趣的文件并将它们泄露到 Google Drive。
  • Dolphin 被用作 2021 年初联合攻击的最终有效载荷,涉及对韩国在线报纸的水坑攻击、Internet Explorer 漏洞利用和另一个名为 Bluelight 的 ScarCruft 后门。

ESET的网络安全团队在调查另一个名为 Bluelight 的后门时,公布了一个名为 Dolphin 的新型复杂后门。该研究报告发表在博客文章中,以深入了解新发现的后门 Dolphin 的性能。

目标主要来自韩国

ESET 网络安全团队发现 ScarCruft APT 组织使用了 Dolphin 后门。该组织也称为 APT37 或 Reaper。它主要关注来自韩国以及其他一些也面临攻击的亚洲国家的受害者。研究人员表示,Dolphin 被用作 2021 年初多阶段攻击的最终有效载荷,该攻击涉及对韩国在线报纸的水坑攻击,这是 Internet Explorer 利用另一个名为 Bluelight 的 ScarCruft 后门进行的攻击。Bluelight 先前由 Volexity 和 Kaspersky 报告。

导致执行 Dolphin 后门的攻击组件概述
导致执行 Dolphin 后门的攻击组件概述

海豚更复杂

ESET 研究人员表示,虽然 Bluelight 对受害者进行基本监视,但 Dolphin 会积极挖掘受感染系统的驱动器以获取感兴趣的文件,并将它们泄露到 Google Drive。Dolphin 的其他功能包括键盘记录、屏幕截图和从浏览器窃取凭据。据分析,一些 Dolphin 版本可以降低已登录 Gmail 帐户的安全性,很可能是为了保持其对受害者收件箱的访问权限。为此,后门程序会从浏览器中窃取登录帐户的现有 cookie,并提出修改设置的请求。博客文章指出;

« Dolphin 是一个后门,可以收集信息并执行其操作员发出的命令。后门是用 C++ 编写的常规 Windows 可执行文件。它与用作其 C&C 服务器的 Google Drive云存储进行通信。我们根据在可执行文件中找到的 PDB 路径命名后门 Dolphin:D:\Development\BACKDOOR\Dolphin\x64\Release\Dolphin.pdb »

研究小组发现,自 2021 年 4 月首次发现后门以来,Dolphin 已经改进了后门的功能。目前,Dolphin 能够收集当前后门配置、用户名、计算机名称、本地和外部 IP 地址、已安装的安全产品列表、RAM 大小和使用情况、调试器和其他检查工具(例如 Wireshark)的检查结果、操作系统版本、当前时间和恶意软件版本。ESET 研究团队补充说,Dolphin 是 ScarCruft 滥用云存储服务的广泛后门库的又一新成员。

转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 新的后门Dolphin它与名为ScarCruft APT组的朝鲜网络威胁有关