El grupo ScarCruft vinculado a Corea del Norte ha sido atribuido a una puerta trasera no documentada anteriormente llamada Dolphin que el actor de amenazas ha utilizado contra objetivos ubicados en su contraparte del sur.
«La puerta trasera tiene una amplia gama de capacidades de espionaje, incluido el monitoreo de unidades y dispositivos portátiles y la filtración de archivos de interés, el registro de teclas y la toma de capturas de pantalla, y el robo de credenciales de los navegadores», dijo Filip Jurčacko, investigador de ESET, en un nuevo informe publicado.
Se dice que Dolphin se implementa de forma selectiva, con el malware utilizando servicios en la nube como Google Drive para la exfiltración de datos, así como para el comando y control.
La compañía eslovaca de ciberseguridad dijo que encontró el implante desplegado como carga útil de etapa final como parte de un ataque de abrevadero a principios de 2021 dirigido contra un periódico digital de Corea del Sur.
La campaña, descubierta por primera vez por Kaspersky y Volexity el año pasado, implicó el uso de armas de dos fallas de Internet Explorer (CVE-2020-1380 y CVE-2021-26411) para lanzar una puerta trasera llamada BLUELIGHT.
ScarCruft, también llamado APT37, InkySquid, Reaper y Ricochet Chollima, es un grupo APT motivado geopolíticamente que tiene un historial de ataques a entidades gubernamentales, diplomáticos y organizaciones de noticias asociadas con asuntos de Corea del Norte. Se sabe que está activo desde al menos 2012.
Netsparker combina la gestión de la seguridad de las aplicaciones con integraciones e informes que mejoran el flujo de trabajo de su equipo.
Conocer..
A principios de abril, la firma de seguridad cibernética Stairwell reveló detalles de un ataque de phishing dirigido a periodistas que cubren el país con el objetivo final de implementar un malware denominado GOLDBACKDOOR que comparte superposiciones con otra puerta trasera de ScarCruft.
Los últimos hallazgos de ESET arrojan luz sobre una segunda puerta trasera más sofisticada entregada a un pequeño grupo de víctimas a través de BLUELIGHT, indicativo de una operación de espionaje altamente dirigida.
Esto, a su vez, se logra mediante la ejecución de un shellcode instalador que activa un cargador que comprende un componente de Python y shellcode, el último de los cuales ejecuta otro cargador de shellcode para eliminar la puerta trasera.
«Mientras que la puerta trasera BLUELIGHT realiza un reconocimiento básico y una evaluación de la máquina comprometida después de la explotación, Dolphin es más sofisticado y se implementa manualmente solo contra víctimas seleccionadas», explicó Jurčacko.
Lo que hace que Dolphin sea mucho más potente que BLUELIGHT es su capacidad para buscar dispositivos extraíbles y filtrar archivos de interés, como medios, documentos, correos electrónicos y certificados.
Se dice que la puerta trasera, desde su descubrimiento original en abril de 2021, ha pasado por tres iteraciones sucesivas que vienen con su propio conjunto de mejoras de características y le otorgan más capacidades de evasión de detección.
«Dolphin es otra adición al extenso arsenal de puertas traseras de ScarCruft que abusan de los servicios de almacenamiento en la nube», dijo Jurčacko. «Una capacidad inusual que se encuentra en versiones anteriores de la puerta trasera es la capacidad de modificar la configuración de las cuentas de Google y Gmail de las víctimas para reducir su seguridad, presumiblemente para mantener el acceso a la cuenta para los atacantes».
Fuente: thehackernews
Si te ha gustado, ¡compártelo con tus amigos!
