Dolphinはバックドアです。
ScarCruft APTに展開されています。
- 高機能
ドライブやポータブルデバイスの監視、関心のあるファイルの抽出、キーロギングとスクリーンショットの取得、ブラウザーからの資格情報の盗用など、多くの機能を備えます。 - 継続的な更新
2021年から観測されていますが、これまでの間に何度も更新版の存在が確認されています。
継続的に更新されています。 - 多段階で展開
このマルウェアは多段階で展開されます。
それぞれの段階が検出を回避しようとする実装がなされているため、解析が容易ではありません。
Internet Explorerのエクスプロイトやシェルコードなど、複数のコンポーネントで攻撃が構成され、BLUELIGHTバックドアが設置されます。
そしてBLUELIGHTバックドアはDolphinを設置します。 - 狙い撃ち
BLUELIGHTバックドアはDolphinを設置するのですが、感染したすべての環境に設置するのではないようです。
BLUELIGHTで侵害環境の情報を収集します。
収集した情報をもとに侵害環境を見定めます。
なんらかの評価の後、選択された環境に対してはDolphinが設置されます。 - 複雑な設置手順
Dolphinの設置部分だけでも多段化されています。
インストーラーとしての動作をするshellcode、Pythonで書かれたloader、さらに別のloaderとして動作するshellcode、もう一回次の段階のloader、そしてDolphinの本体が設置されます。
プロセスにPythonを使用するのですが、侵害環境にPythonがなくても大丈夫です。
多段階の途中の段階で攻撃コードがPythonを現地に持ち込みます。
多段階の活動の中で永続化も実現されます。 - Dolphin本体
DolphinはC++ で記述された通常のWindows実行可能ファイルです。
C2としてGoogleドライブを使用します。
Dolphinはオペレーターが発行したコマンドをGoogleドライブからダウンロードして実行します。
Googleドライブは盗んだデータの持ち出し場所としても使用します。 - データの盗み出し
環境を調査し、ファイルリストを作成します。
USB接続などの非固定ドライブ、ハードディスクなどの固定ドライブのファイルが対象になります。
それだけでなく、Windows Portable Device(WPD)APIを使用して、スマートフォンなどのポータブルデバイスも検索します。
各種デバイスからファイルを取り出すだけでなく、ブラウザーから資格情報も盗み出します。
保存されたパスワードやCookieが持ち出されます。 - 設定変更
Dolphinは環境の設定を勝手に変更します。
盗んだアカウント情報でGoogleにログインし、セキュリティ設定を変更します。
IMAPプロトコル経由でGmailにアクセスできるようにし、安全性の低いアプリアクセスの機能を有効に変更します。
この設定変更によって、攻撃者は被害者のメールに外部からアクセスできる状態になります。
Dolphinは設置手法もその内容も細かい点までよく練られたマルウェアになっています。
ScarCruftはこれまでいくつもの活動を実施してきています。
今後も注視が必要なAPTグループといえそうです。
参考記事(外部リンク):Who’s swimming in South Korean waters? Meet ScarCruft’s
Dolphin
www.welivesecurity.com/2022/11/30/whos-swimming-south-korean-waters-meet-scarcrufts-dolphin/
この記事をシェア |
---|