Шпигунська програма ScarCruft може використовувати Google Drive для з’єднання з командним сервером
Компанія Eset виявила раніше невідомий складний бекдор, який використовує APT-група ScarCruft. Шкідлива програма Dolphin має широкий спектр шпигунських можливостей, зокрема моніторинг дисків і портативних пристроїв, перехоплення файлів, запис натискань клавіатури, створення знімків екрана і викрадення облікових даних із браузерів.
Функціонал загрози використовується для вибраних цілей, на пристроях яких бекдор розгортається після початкової компрометації за допомогою менш вдосконаленого шкідливого програмного забезпечення. Крім цього, Dolphin несанкціоновано використовує хмарні сховища, зокрема Google Drive, для з’єднання з командним сервером.
Варто зазначити, що ScarCruft, також відома як APT37 або Reaper, є шпигунською групою кіберзлочинців, яка активна принаймні з 2012 року. Вона зосереджена в основному на Південній Кореї, але її цілями часто ставали й інші країни Азії. ScarCruft зацікавлена в основному в урядових і військових організаціях, а також компаніях у різних галузях, пов’язаних з інтересами Північної Кореї.
Після розгортання на пристроях певних цілей шкідлива програма шукає цікаві файли на дисках скомпрометованих систем і надсилає їх на Google Drive. Однією незвичайною можливістю, знайденою в попередніх версіях бекдора, є здатність змінювати налаштування облікових записів Google і Gmail жертв для зменшення рівня їх безпеки/
З моменту першого виявлення Dolphin у квітні 2021 року дослідники Eset виявили кілька версій бекдора, у яких зловмисники покращували його можливості та здатність уникати виявлення.
У той час як простіший бекдор з назвою Bluelight виконує базову розвідку та оцінку пристрою після компрометації, Dolphin є більш досконалим і вручну розгортається лише для вибраних жертв. Обидва бекдори здатні перехоплювати файли зі шляху, указаного в команді, але Dolphin також активно шукає диски та автоматично перехоплює файли з цікавими розширеннями.