Kuzey Kore bağlantılı grup Google Driayrıca aracılığıyla iletişim kuruyor, ilgisini çeken dosyaları çalıyor
Kuzey Kore bağlantılı grup Google Driayrıca aracılığıyla iletişim kuruyor, ilgisini çeken dosyaları çalıyor
ESET araştırmacıları, ScarCruft APT grubu tarafınca kullanılan ayrıca daha önce bildirilmemiş karmaşık bir arka kapıyı(backdoor) analiz etti.
ESET’in Dolphin adını verdiği arka kapı, sürücüleri ayrıca taşınabilir birçok cihazı izleme, ilgilendiği dosyaları dışarı sızdırma, tuş kaydetme, ekran görüntüleri alma ayrıca tarayıcılardan kimlik bilgilerini çalma dahil olmak üzere birçok casusluk yeteneğine sahip. Dolphin, Komuta ayrıca Kontrol iletişimi için bulut depolama hizmetlerini, özellikle Google Drive’ı kötüye kullanıyor.
APT37 veya Reaper olarak da bilinen ScarCruft, 2012’den beri faaliyet gösteren bir casusluk grubu. Öncelikli hedefi Güney Kore olsa da diğer Asya ülkeleri de hedefleri arasında yer alıyor. ScarCruft, esas olarak hükümet ayrıca askeri kuruluşlarla, Kuzey Kore’nin çıkarlarıyla bağlantılı çeşitli sektörlerdeki şirketlerle ilgileniyor.
Dolphin arka kapısını analiz eden ESET araştırmacısı Filip Jurčacko bu konuda şunları söyledi: “Arka kapı seçilen hedeflere dağıtıldıktan sonra, güvenliği ihlal edilmiş sistemlerin sürücülerinde ilginç dosyalar arıyor ayrıca bulduğu dosyaları Google Drive’a sızdırıyor. Bu arka kapının önceki sürümleri, kurbanların Google ayrıca Gmail hesaplarının ayarlarını değiştirerek bu hesapların güvenliklerini zayıflatan ayrıca bu sayede muhtemelen tehdit aktörlerinin Gmail hesaplarına erişimini sürdürebilmesine olanak tanıyan sıra dışı bir yeteneğe sahip.”
Dolphin arka kapısı, işletim sistemi sürümü, kötü amaçlı yazılım sürümü, yüklü güvenlik ürünleri listesi, kullanıcı adı ayrıca bilgisayar adı dahil olmak üzere hedeflenen makine hakkında temel bilgileri topluyor. Varsayılan olarak, Dolphin tüm sabit (HDD) ayrıca sabit olmayan sürücüleri (USB’ler) tarıyor, dizin listeleri oluşturuyor ayrıca dosyaları uzantılarına göre dışarı sızdırıyor. Ayraca Dolphin, Windows Portable Device API aracılığıyla akıllı telefonlar gibi taşınabilir cihazları da tarıyor. Arka kapı, tarayıcılardan kimlik bilgilerini çalmanın yanı sıra tuş kaydetme ayrıca ekran görüntüleri alma yeteneğine sahip.