Grup peretasan Korea Utara APT37 (alias ScarCruft atau Reaper) telah memperbarui persenjataan alatnya yang luas dengan pintu belakang canggih baru bernama Dolphin. Backdoor menyalahgunakan layanan penyimpanan cloud, khususnya Google Drive untuk komunikasi C2.
Peneliti ESET menemukan bahwa APT37 menggunakan Dolphin sejak awal 2021 dan pintu belakang terus mengembangkan kemampuan baru dan berevolusi untuk menghindari deteksi.
- Penemuan terbaru terkait dengan serangan lubang berair pada tahun 2021 di surat kabar online Korea Selatan yang melaporkan aktivitas dan acara yang berkaitan dengan Korea Utara.
- Peretas mengandalkan banyak komponen, termasuk eksploit Internet Explorer dan kode shell yang mengarah ke pintu belakang bernama BLUELIGHT, yang menyebarkan muatan sekunder Dolphin pada target yang dipilih.
- BLUELIGHT melakukan pengintaian dasar dan evaluasi mesin yang disusupi setelah eksploitasi dan Dolphin mencari drive dari sistem yang disusupi untuk mencari file menarik dan mengekstraknya ke Google Drive.
Dolphin, ditulis dalam C++, adalah backdoor yang mengumpulkan informasi dan mengeksekusi perintah secara otomatis atau seperti yang dikeluarkan oleh operatornya.
- Dolphin memiliki berbagai kemampuan mata-mata, termasuk memantau layanan cloud dan perangkat portabel serta mengekstraksi file yang menarik.
- Selain itu, ia mampu melakukan keylogging dan mengambil screenshot, dan mencuri kredensial dari browser seperti Chrome, Edge, dan Internet Explorer. Itu dapat membangun kegigihan pada sistem yang dikompromikan dengan memodifikasi Windows Registry.
Sejauh ini, empat varian pintu belakang Dolphin telah terdeteksi, 1.9 hingga 3.0 (86/64-bit). Dolphin sering menambah, menghapus, atau memperbaiki perintah di setiap varian.
Selengkapnya: Cyware
