Archives par mot-clé : APT37

Un groupe de pirates lié à la Corée du Nord vole des fichiers de valeur en s’appuyant sur Google Drive

Des chercheurs ont analysé une porte dérobée sophistiquée, jusqu’alors inconnue et utilisée par le groupe de pirates ScarCruft. Baptisée Dolphin la porte dérobée dispose d’un large éventail de fonctionnalités d’espionnage, notamment la surveillance des lecteurs et des appareils portables, l’exfiltration de fichiers de valeur, l’enregistrement des frappes de clavier, les captures d’écran et le vol d’identifiants dans les navigateurs. Ses fonctions sont réservées à des cibles sélectionnées sur lesquelles la porte dérobée est déployée, après une compromission initiale à l’aide de malwares moins avancés. Dolphin détourne des services de stockage dans le Cloud, spécifiquement Google Drive, pour les communications de commande et de contrôle.

ScarCruft, également connu sous le nom d’APT37 ou Reaper, est un groupe d’espionnage qui opère depuis au moins 2012. Il se concentre principalement sur la Corée du Sud, mais d’autres pays asiatiques ont également été visés. ScarCruft semble s’intéresser principalement aux organisations gouvernementales et militaires, ainsi qu’aux entreprises de différents secteurs liés aux intérêts de la Corée du Nord.

« Après avoir été déployé sur des cibles sélectionnées, le malware parcourt les lecteurs des systèmes compromis à la recherche de fichiers de valeur et les exfiltre vers Google Drive. La possibilité de modifier les paramètres des comptes Google et Gmail des victimes afin de réduire leur sécurité, vraisemblablement pour maintenir l’accès au comptes Gmail pour les auteurs de la menace, est une fonctionnalité inhabituelle présente dans les versions antérieures de la porte dérobée, » explique Filip Jurčacko, le chercheur chez ESET qui a analysé la porte dérobée Dolphin.

En 2021, ScarCruft a mené une attaque de type « watering-hole » contre un journal en ligne sud-coréen consacré à la Corée du Nord. L’attaque se composait de plusieurs éléments, dont l’exploitation d’une vulnérabilité Internet Explorer et un shellcode menant à une porte dérobée appelée BLUELIGHT.

Dans les études précédentes, la porte dérobée BLUELIGHT était décrite comme l’objectif final. Cependant, lors de l’analyse approfondie de l’attaque, une seconde porte dérobée plus sophistiquée déployée sur des victimes sélectionnées via cette première porte dérobée. « Nous avons nommé celle-ci Dolphin, d’après un chemin PDB trouvé dans l’exécutable » continue M. Jurčacko.

Depuis la découverte initiale de Dolphin en avril 2021, les chercheurs ont observé de multiples versions de cette porte dérobée, comprenant des améliorations et des techniques pour échapper à sa détection.

Tandis que la porte dérobée BLUELIGHT effectue une reconnaissance de base et une évaluation de la machine compromise après infection, Dolphin est plus sophistiquée et se déploie manuellement uniquement sur des cibles sélectionnées. Les deux portes dérobées sont capables d’exfiltrer des fichiers à partir d’un chemin spécifié dans une commande, mais Dolphin parcourt également activement les lecteurs et exfiltre automatiquement les fichiers ayant des extensions intéressantes.

La porte dérobée collecte des informations de base sur la machine ciblée, notamment la version du système d’exploitation, la version du malware, la liste des produits de sécurité installés, le nom de l’utilisateur et le nom de l’ordinateur. Par défaut, Dolphin parcourt tous les lecteurs fixes (disques durs) et non fixes (USB), crée des listes de dossiers, et exfiltre les fichiers selon leur extension. Dolphin recherche également les appareils portables, tels que les smartphones, via l’API Windows Portable Device. La porte dérobée vole les identifiants dans les navigateurs. Elle est également capable d’enregistrer les frappes et de faire des captures d’écran. Enfin, elle place ces données dans des archives ZIP chiffrées avant de les téléverser sur Google Drive.