Tin tặc Triều Tiên sử dụng mã độc Dolphin để thực hiện các hoạt động gián điệp đánh cắp dữ liệu

14:09 | 14/12/2022

Các nhà nghiên cứu tại công ty an ninh mạng ESET (Slovakia) đã phát hiện một dạng mã độc với các khả năng gián điệp có thể hoạt động như một backdoor trên các hệ thống bị lây nhiễm, với tên gọi là “Dolphin”, mã độc này được các tin tặc Triều Tiên sử dụng trong các chiến dịch trong nhiều năm nay để thực hiện đánh cắp dữ liệu các tệp và gửi chúng tới bộ lưu trữ Google Drive để kiểm soát.

Các nhà nghiên cứu đã tìm thấy Doplphin vào tháng 4/2021 và quan sát thấy nó đang phát triển thành các phiên bản mới với mã lệnh được cải tiến cùng cơ chế ẩn mình nhằm tránh các phần mềm bảo mật phát hiện.

Theo ESET, nhóm tin tặc APT37 (còn gọi là Reaper, Red Eyes, Erebus, ScarCruft) đã sử dụng Dolphin làm backdoor cho các cuộc tấn công nhắm vào các thực thể mục tiêu cụ thể liên quan đến các lợi ích của Triều Tiên.

Công c BLUELIGHT

Dolphin được sử dụng kết hợp cùng với BLUELIGHT, một công cụ trinh sát cơ bản từng thấy trong các chiến dịch của nhóm APT37 trước đó, nhưng biến thể mới của nó có các khả năng mạnh mẽ hơn như đánh cắp thông tin từ trình duyệt web (mật khẩu), chụp ảnh màn hình và ghi lại các thao tác gõ bàn phím.

BLUELIGHT được sử dụng để khởi chạy trình tải Python của Dolphin trên một hệ thống bị xâm nhập nhưng có vai trò hạn chế trong các hoạt động gián điệp. Trình tải Python sẽ bao gồm một tập lệnh và shellcode, khởi chạy quá trình giải mã XOR nhiều bước, tạo các process,… sau đó dẫn đến việc thực thi payload Dolphin trong một process bộ nhớ mới được tạo.

Tổng quan về các thành phần tấn công dẫn đến việc thực thi Dolphin

Thực chất, Dolphin là một chương trình thực thi C++ sử dụng Google Drive làm máy chủ chỉ huy và kiểm soát (C2) và để lưu trữ các tệp bị đánh cắp, mã độc này thiết lập sự bền bỉ bằng cách sửa đổi các khóa trong Windows Registry.

Kh năng ca Dolphin

Trong giai đoạn đầu, Dolphin thu thập một số thông tin từ máy bị nhiễm như: Tên người dùng, tên máy tính, địa chỉ IP cục bộ và bên ngoài, dung lượng RAM, danh sách các chương trình phần mềm bảo mật, phiên bản của hệ điều hành, các công cụ kiểm tra gói mạng hoặc gỡ lỗi (ví dụ như Wireshark),… Mã độc này cũng sẽ gửi tới C2 các thông tin bao gồm cấu hình, số phiên bản và thời gian hiện tại của nó.

Cấu hình này chứa các hướng dẫn ghi nhật ký thao tác và lọc tệp, thông tin xác thực để truy cập API Google Drive và các khóa mã hóa.

Cấu hình backdoor Dolphin

Các nhà nghiên cứu cho biết rằng tin tặc đã gửi các tập lệnh tới Dolphin bằng cách tải chúng lên Google Drive. Sau đó, backdoor tải lên kết quả từ việc thực thi các lệnh.

Khi tìm thấy các thông tin ban đầu về thiết bị, Dolphin sẽ tìm kiếm thêm dữ liệu và thiết bị được kết nối với hệ thống bị nhiễm, bằng cách quét các ổ đĩa cục bộ và ổ đĩa di động để tìm các loại dữ liệu khác nhau (media, tài liệu, email, chứng chỉ) được lưu trữ và gửi tới C2 Google Drive. Tính năng này đã được cải thiện hơn nữa để lọc dữ liệu theo tiện ích mở rộng.

Đánh cắp dữ liệu t thiết bị di động được kết ni

Các nhà nghiên cứu đã phát hiện ra rằng khả năng tìm kiếm của Dolphin không chỉ liên quan đến người dùng Windows mà còn mở rộng tới bất kỳ điện thoại thông minh nào được kết nối với máy chủ bị xâm nhập bằng cách sử dụng Windows Portable Device API. Nếu tìm thấy bất kỳ thiết bị nào, mã độc sẽ trích xuất các tệp từ chúng.

ESET lưu ý rằng mã độc có thể sử dụng đường dẫn được mã hóa cứng với tên người dùng không tồn tại trên các máy tính bị vi phạm. Điều này gây ra việc khởi tạo biến bị thiếu, trong đó một số biến được coi là bị hủy đăng ký và thiếu tính năng lọc tiện ích mở rộng. Ngoài ra, nó cũng có thể làm giảm tính bảo mật cho tài khoản Google của nạn nhân bằng cách thay đổi các cài đặt liên quan. Điều này có thể cho phép tin tặc giữ quyền kiểm soát truy cập trên tài khoản nạn nhân trong thời gian dài hơn.

Bảo mật thấp hơn trên các tài khoản Google bị xâm nhập cũng có thể là bằng chứng bổ sung cho thấy mã độc đã tiếp cận nạn nhân, vì các tin tặc hiện có quyền truy cập vào tài khoản của họ trong một thời gian dài.

Ngoài ra, Dolphin có thể ghi lại thao tác gõ phím của người dùng trong Google Chrome và Internet Explorer bằng cách lạm dụng API “GetAsyncKeyState” và nó có thể chụp ảnh cửa sổ đang hoạt động cứ sau 30 giây một lần.

Các nhà nghiên cứu của ESET đã phát hiện được 4 phiên bản khác nhau của Dolphin, trong đó phiên bản mới nhất là 3.0 từ tháng 1/2022.

Dòng thời gian các phiên bản Dolphin

Có thể các phiên bản mới hơn của Dolphin tồn tại và đã được sử dụng trong các cuộc tấn công, do mã độc này đã được triển khai để chống lại các mục tiêu được chỉ định.

Theo các nhà nghiên cứu, Dolphin thực tế đã được các tin tặc sử dụng trong một cuộc tấn công watering-hole vào một tờ báo của Hàn Quốc  - đưa tin về các hoạt động và sự kiện liên quan đến Triều Tiên. Các tin tặc đã dựa vào khai thác Internet Explorer để cuối cùng cung cấp backdoor Dolphin tới các máy chủ mục tiêu.

Giải pháp phòng tránh

Phiên bản hiện tại của Dolphin nhắm vào các lỗ hổng được tìm thấy trong Internet Explorer. Nếu người dùng vẫn đang sử dụng trình duyệt này, nên cập nhật lên Microsoft Edge (bản thay thế cho Internet Explorer).

Mã độc có thể gây rủi ro đáng kể cho các thiết bị, mạng doanh nghiệp và dịch vụ riêng lẻ. Một thiết bị bị nhiễm được đưa vào môi trường làm việc có thể gây ra rủi ro bảo mật đáng kể và có thể cho phép những kẻ xấu xâm nhập vào mạng của người dùng.

Để phòng ngừa và bảo vệ hệ thống mạng trước mã độc này, các tổ chức, doanh nghiệp cần thực hiện một số biện pháp sau:

  • Đảm bảo rằng quản trị viên hệ thống phải phê duyệt bất kỳ phần mềm mới nào trước khi được tải xuống.
  • Luôn bật, kiểm tra và cập nhật thường xuyên phần mềm chống virus trên tất cả các thiết bị.
  • Hạn chế sử dụng ổ USB trong tổ chức. Điều này có thể được thực hiện bằng cách chặn quyền truy cập vào các cổng USB vật lý đối với hầu hết người dùng, cũng như chỉ cho phép sử dụng các ổ đĩa đã được kiểm duyệt với các thiết bị của tổ chức.
  • Hướng dẫn người dùng về sự nguy hiểm và nguồn gốc của mã độc, chẳng hạn như từ email lừa đảo hoặc từ các trang web độc hại hoặc bị xâm nhập.
  • Sử dụng tài khoản không phải quản trị viên cho các hoạt động hàng ngày, lưu ý chỉ sử dụng tài khoản quản trị viên cho mục đích quản trị trên mạng của tổ chức.