Platone Data Intelligence.
Ricerca verticale e intelligenza artificiale.

Chi sta nuotando nelle acque della Corea del Sud? Incontra il delfino di ScarCruft

Data:

I ricercatori ESET scoprono Dolphin, una sofisticata backdoor che estende l'arsenale del gruppo ScarCruft APT

I ricercatori ESET hanno analizzato una backdoor precedentemente non segnalata utilizzata dal gruppo ScarCruft APT. La backdoor, che abbiamo chiamato Dolphin, ha una vasta gamma di funzionalità di spionaggio, tra cui il monitoraggio di unità e dispositivi portatili e l'esfiltrazione di file di interesse, il keylogging e l'acquisizione di schermate e il furto di credenziali dai browser. La sua funzionalità è riservata a target selezionati, a cui viene distribuita la backdoor dopo la compromissione iniziale utilizzando malware meno avanzati. In linea con altri strumenti ScarCruft, Dolphin abusa dei servizi di cloud storage, in particolare Google Drive, per la comunicazione C&C.

Durante la nostra indagine, abbiamo notato un continuo sviluppo della backdoor e tentativi da parte degli autori del malware di eludere il rilevamento. Una caratteristica notevole delle versioni precedenti di Dolphin che abbiamo analizzato è la possibilità di modificare le impostazioni degli account Google e Gmail registrati dalle vittime per ridurre la loro sicurezza, molto probabilmente per mantenere l'accesso alle caselle di posta delle vittime.

In questo post sul blog, forniamo un'analisi tecnica della backdoor Dolphin e spieghiamo la sua connessione con l'attività di ScarCruft precedentemente documentata. Presenteremo le nostre scoperte su questa nuova aggiunta al set di strumenti di ScarCruft al AVAR 2022 conferenza.

Punti chiave in questo post sul blog:

  • I ricercatori ESET hanno analizzato Dolphin, una backdoor precedentemente non segnalata utilizzata dal gruppo ScarCruft APT.
  • Dolphin viene schierato solo su obiettivi selezionati; cerca file interessanti nelle unità dei sistemi compromessi e li esfiltra su Google Drive.
  • La backdoor è stata utilizzata come payload finale di un attacco multistadio all'inizio del 2021, che ha coinvolto un attacco watering-hole a un giornale online sudcoreano, un exploit di Internet Explorer e un'altra backdoor di ScarCruft, chiamata BLUELIGHT.
  • Dalla scoperta iniziale di Dolphin nell'aprile 2021, i ricercatori ESET hanno osservato più versioni della backdoor, in cui gli attori delle minacce hanno migliorato le capacità della backdoor e hanno tentato di eludere il rilevamento.
  • Una caratteristica notevole delle versioni precedenti di Dolphin che abbiamo analizzato è la possibilità di modificare le impostazioni degli account Google e Gmail registrati dalle vittime per ridurre la loro sicurezza.

Profilo di ScarCruft

ScarCruft, noto anche come APT37 o Reaper, è un gruppo di spionaggio che opera almeno dal 2012. Si concentra principalmente sulla Corea del Sud, ma anche altri paesi asiatici sono stati presi di mira. ScarCruft sembra essere interessato principalmente alle organizzazioni governative e militari e alle aziende di vari settori legati agli interessi della Corea del Nord.

Panoramica dei delfini

Nel 2021, ScarCruft ha condotto un attacco a un giornale online sudcoreano incentrato sulla Corea del Nord. L'attacco consisteva in più componenti, tra cui un exploit di Internet Explorer e uno shellcode che portava a una backdoor chiamata BLUELIGHT, segnalata da Volexity ed Kaspersky.

In quei rapporti, la backdoor BLUELIGHT è stata descritta come il payload finale dell'attacco. Tuttavia, durante l'analisi dell'attacco, abbiamo scoperto attraverso la telemetria ESET una seconda backdoor più sofisticata, implementata su vittime selezionate tramite BLUELIGHT. Abbiamo chiamato questa backdoor Dolphin in base a un percorso PDB trovato nell'eseguibile.

Mentre la backdoor BLUELIGHT esegue la ricognizione e la valutazione di base della macchina compromessa dopo lo sfruttamento, Dolphin è più sofisticato e schierato manualmente solo contro vittime selezionate. Entrambe le backdoor sono in grado di esfiltrare i file da un percorso specificato in un comando, ma Dolphin ricerca attivamente anche le unità ed esfiltra automaticamente i file con estensioni di interesse per ScarCruft.

La Figura 1 fornisce una panoramica dei componenti di attacco che portano all'esecuzione della backdoor Dolphin.

Figura 1. Panoramica dei componenti dell'attacco che portano all'esecuzione della backdoor Dolphin

Analisi dei delfini

L'analisi dei componenti di Dolphin e delle loro capacità è fornita nella sezione seguente.

L'analisi si basa sulla prima versione della backdoor che abbiamo trovato, la 1.9 (basata su una stringa trovata nel codice) con informazioni aggiuntive sui cambiamenti nelle versioni più recenti. Una descrizione riassuntiva delle modifiche di versione è disponibile nel file Evoluzione dei delfini .

Programma di installazione del delfino

Le sezioni successive descrivono i componenti del programma di installazione e del caricatore responsabili dell'esecuzione della backdoor Dolphin nello scenario di attacco analizzato.

Vale la pena notare che questo programma di installazione e il caricatore distribuito non sono esclusivi di Dolphin e sono stati precedentemente utilizzati con altri malware ScarCruft.

Lo shellcode dell'installatore segue questi obiettivi principali:

  • Scarica e distribuisci un interprete Python
  • Genera e distribuisci una catena di caricamento con il relativo payload
  • Garantire la persistenza della catena di carico

Il programma di installazione scarica un file CAB da OneDrive, contenente un interprete Python 2.7 legittimo. Il CAB è disimballato %% APPDATAe, a seconda dell'architettura, l'interprete finisce in una delle seguenti directory:

  • %appdata%Python27(32)
  • %appdata%Python27(64)

Il programma di installazione genera due percorsi di file per i componenti della catena di caricamento, ed , con il formato .

è selezionato casualmente da

  • %DATI DEL PROGRAMMA%
  • %PUBBLICO%
  • %APPDATA%Microsoft
  • %APPDATA%MicrosoftWindows
  • %DATIAPP.LOCALE%
  • %LOCALAPPDATA% Microsoft
  • %LOCALAPPDATA%MicrosoftWindows

ed vengono selezionati casualmente dai nomi di file esistenti (senza estensione) in %windir%inf*.inf ed %windir%system32*.dll.

Per generare il passaggio 1 di Loader, utilizza un modello di script riempito con nomi generati casualmente (variabili, funzione). Il modello con l'esempio generato è mostrato nella Figura 2.

Figura 2. Modello del passaggio 1 ed esempio generato

Lo script viene quindi scritto in .

Il passaggio 2 (incorporato nel programma di installazione) contenente il resto della catena di caricamento, incluso il payload, è crittografato con una chiave XOR a un byte derivata dall'ora corrente e scritta in .

Per mantenere l'inizio della catena di caricamento, il programma di installazione imposta un valore di registro Esegui:

HKCUSoftwareMicrosoftWindowsCurrentVersionRun<random_run_name>”%appdata%Python27({32|64})pythonw.exe” “<loader_step_1>” “<loader_encrypted_step_2>”

Le viene selezionato casualmente dai nomi di file esistenti corrispondenti %WINDIR%inf*.inf, scartando il . Inf estensione.

Per avviare la catena di caricamento dopo l'installazione, crea un'attività pianificata una tantum.

Caricatore di delfini

Il caricatore Dolphin è costituito da uno script Python e da uno shellcode.

Il passaggio 1, lo script Python, legge un file specificato, ne decrittografa con XOR il contenuto ed esegue lo shellcode risultante.

Il passaggio 2, shellcode, crea un processo host (eseguibile CLI casuale da %WINDIR%System32*.exe), XOR decifra ulteriore shellcode contenuto in se stesso e lo inietta nel processo creato.

Passaggio 3, un altro shellcode, XOR-decifra un file PE incorporato - la backdoor Dolphin - e lo carica ed esegue utilizzando un caricatore PE personalizzato.

Backdoor dei delfini

Dolphin è una backdoor che raccoglie informazioni ed esegue i comandi impartiti dai suoi operatori. La backdoor è un normale eseguibile di Windows, scritto in C++. Comunica con il cloud storage di Google Drive, che viene utilizzato come server C&C.

Abbiamo chiamato la backdoor Dolphin in base a un percorso PDB trovato nell'eseguibile:

D:SviluppoBACKDOORDolphinx64RilascioDolphin.pdb

Persistenza

La backdoor controlla periodicamente e crea la propria persistenza assicurandosi che il passaggio 1 del caricatore venga eseguito ogni volta che il sistema viene avviato, tramite un valore Run del registro, allo stesso modo dell'installer:

HKCUSoftwareMicrosoftWindowsCurrentVersionRun<random_run_name>”%appdata%Python27({32|64})pythonw.exe” “<loader_step_1>” “<loader_encrypted_step_2>”

Capabilities

Vengono raccolte le seguenti informazioni di base sul computer e sulla backdoor:

  • Configurazione backdoor corrente
  • Nome utente
  • nome del computer
  • Indirizzo IP locale ed esterno
  • Elenco dei prodotti di sicurezza installati
  • Dimensioni e utilizzo della RAM
  • Risultato del controllo per il debugger e altri strumenti di ispezione (come Wireshark)
  • Versione del sistema operativo
  • Ora attuale
  • Versione malware

Dolphin scarica i comandi, emessi dai suoi operatori, dallo spazio di archiviazione di Google Drive e li esegue. Dopo l'esecuzione, viene caricato l'output dei comandi. La maggior parte delle capacità di Dolphin sono controllate tramite comandi.

Le funzionalità più rilevanti sono descritte di seguito.

Esfiltrazione di file

Per impostazione predefinita, Dolphin ricerca tutte le unità non fisse (USB), crea elenchi di directory ed esfiltra i file per estensione. Questa ricerca può essere estesa alle unità fisse (HDD), tramite comandi dedicati.

Le seguenti estensioni di file di interesse, specifiche per supporti, documenti, e-mail e certificati, sono specificate nella configurazione predefinita:

jpg, doc, xls, ppt, hwp, url, csv, pdf, mostra, cell, eml, odt, rtf, nxl, amr, 3gp, m4a, txt, msg, chiave, der, cer, docx, xlsx, pptx, pfx, mp3

Oltre a questa ricerca automatica, è possibile esfiltrare file specifici.

Nelle versioni più recenti, la ricerca predefinita è stata estesa alle unità fisse. Il comando per ottenere file specifici è stato migliorato, memorizzandolo nella cache/memorizzandolo nella configurazione fino al completamento.

Dispositivi portatili

Tra le unità normali, Dolphin cerca anche dispositivi portatili come gli smartphone, utilizzando l'API Windows Portable Device (WPD). Crea elenchi di directory ed esfiltra i file. Questa funzionalità sembrava essere in fase di sviluppo nella prima versione che abbiamo trovato, per diversi motivi:

  • Affidarsi a un percorso codificato con un nome utente che probabilmente non esiste sul computer della vittima
  • Inizializzazione variabile mancante: si presume che alcune variabili siano inizializzate a zero o dereferenziate come puntatori senza inizializzazione
  • Filtraggio delle estensioni mancante

Il codice è fortemente basato sull'API COM per dispositivi portatili di Microsoft esempio di codice.

Oltre alla ricerca automatica, gli operatori possono specificare singoli file da esfiltrare dai dispositivi portatili.

Nelle versioni più recenti, questa funzionalità è stata completata e migliorata aggiungendo il filtro delle estensioni. Per ragioni sconosciute, il comando per recuperare file specifici da dispositivi portatili è stato rimosso.

Keylogging e screenshot

Dolphin registra i tasti premuti per le finestre con titoli contenenti sottostringhe specificate nella sua configurazione. Le impostazioni predefinite sono cromo ed esplorare internet (sic). Questo viene fatto tramite il GetAsyncKeyState API, con le sequenze di tasti registrate insieme al nome della finestra e all'ora corrente. Anche gli screenshot vengono acquisiti a intervalli configurabili; l'impostazione predefinita è una volta ogni 30 secondi.

Gli screenshot e il keylogging sono abilitati per impostazione predefinita e possono essere attivati ​​tramite un comando.

shellcode

Dolphin può ricevere shellcode per l'esecuzione. Lo shellcode è memorizzato nel registro, sotto una delle seguenti chiavi:

  • HKCUSoftwareMicrosoftWindowsCurrentVersionThemesClassic
  • HKCUSoftwareMicrosoftOneDriveAggiornamento
  • HKCUSoftwareMicrosoftWindowsCurrentVersionImpostazioni InternetHttpsSoftwareMicrosoftInternet ExplorerZone (due sottochiavi come una, probabilmente un errore di codifica)

Può essere eseguito localmente o in un processo separato specificato che viene creato e iniettato.

Nelle versioni più recenti, lo shellcode è memorizzato in file invece che nel registro, e lo shellcode memorizzato viene caricato ed eseguito all'avvio di Dolphin, cosa che non accadeva nella versione 1.9 (la versione originale che abbiamo analizzato).

Comandi della shell

Dolphin può eseguire comandi di shell; questo viene fatto tramite il pope API e il relativo output viene recuperato.

Rubare le credenziali

Dolphin può recuperare le credenziali dai browser sotto forma di password salvate e cookie. Sono supportati i seguenti browser:

  • Chrome
  • bordo
  • Internet Explorer

Nella versione 2.2, questa funzionalità è stata rimossa, presumibilmente per evitare il rilevamento. Successivamente è stato ripristinato nella versione 3.0, ma in una forma diversa. Ora viene ricevuto dinamicamente dal C&C sotto forma di shellcode.

Account Google

Un altro dei comandi di Dolphin modifica le impostazioni dell'account Google attualmente connesso, abbassandone la sicurezza rispetto alle impostazioni predefinite. Ruba il cookie esistente dell'account connesso dal browser e crea richieste che modificano le impostazioni.

Innanzitutto, abilita l'accesso a Gmail tramite il protocollo IMAP inviando una richiesta HTTP POST a:

  • https://mail.google.com/mail/u/0/?ik=<GM_ID_KEY>&at=<GM_ACTION_TOKEN>&view=up&act=prefs

Quindi abilita "l'accesso alle app meno sicuro" inviando una richiesta RPC non documentata tramite HTTP POST a:

  • https://myaccount.google.com/_/AccountSettingsUi/data/batchexecute

Queste modifiche sono indicate come "accesso Thunder" nella backdoor, probabilmente un riferimento al client di posta Thunderbird. L'accesso alle caselle di posta delle vittime con un client di terze parti tramite IMAP probabilmente aiuta gli operatori di ScarCruft a mantenere l'accesso alle e-mail delle vittime dopo aver rubato le credenziali, che potrebbero non essere sufficienti da sole, a causa del rilevamento di tentativi di accesso sospetti da parte di Google.

Questa caratteristica è stata trovata nelle versioni 1.9 e 2.0 della backdoor; non è presente nelle versioni 2.2 o 3.0.

Messa in scena dei dati

Dolphin esfiltra i dati nello spazio di archiviazione di Google Drive, mettendoli in scena in archivi ZIP crittografati prima del caricamento. La backdoor mantiene anche un elenco di file sotto forma di hash MD5, per evitare di caricare lo stesso file più volte. Questo elenco può essere ripristinato tramite un comando dedicato.

Configurazione

La backdoor contiene una configurazione predefinita iniziale che viene mantenuta alla prima esecuzione e caricata nelle esecuzioni successive. È memorizzato nel file %Dati del programma% .inf, Dove viene selezionato casualmente dai nomi di file esistenti corrispondenti %windir%inf*.inf. Il contenuto viene crittografato utilizzando AES CBC con chiavi e IV casuali a 16 byte, che vengono archiviati all'inizio del file. La configurazione utilizza il formato JSON, con chiavi di tipo hash. Un esempio di configurazione decrittografata è mostrato nella Figura 3.

Figura 3. Configurazione backdoor Dolphin

La configurazione può essere modificata tramite comandi. Contiene, tra gli altri, quanto segue:

  • Chiavi di crittografia
  • Credenziali per l'accesso all'API di Google Drive
  • Titoli delle finestre nel keylog
  • Elenco delle estensioni di file da esfiltrare

Evoluzione dei delfini

Dalla scoperta iniziale di Dolphin nell'aprile 2021, abbiamo osservato più versioni della backdoor, in cui gli attori delle minacce hanno migliorato le capacità della backdoor e hanno tentato di eludere il rilevamento. La figura 4 riassume le versioni viste; una descrizione più dettagliata dei cambiamenti di versione è fornita di seguito.

Figura 4. Cronologia dell'evoluzione dei delfini

Novembre 2021 – versione 2.0

La versione 2.0 ha introdotto le seguenti modifiche alla versione trovata nell'aprile 2021:

  • Risoluzione dinamica di API sospette anziché importazioni statiche (ad esempio GetAsyncKeyState) aggiunto
  • Funzionalità shellcode completata e migliorata
    • Shellcode persistente memorizzato nei file anziché nel registro
    • Shellcode persistente caricato ed eseguito all'avvio di Dolphin (precedentemente mancante)
  • Funzionalità di esfiltrazione di file del dispositivo portatile completata e migliorata
    • Esfiltrazione per estensioni aggiunte
    • Aggiunto il riconoscimento della memoria interna e delle schede SD (dall'ID del dispositivo).
    • Comando per ottenere file da dispositivi portatili in modo efficace un NOP
  • Rilevamento di dispositivi/unità ed esfiltrazione di file migliorati
    • Dolphin ora crea incondizionatamente elenchi di directory ed esfiltra i file per estensione ogni 30 minuti per tutte le unità e dispositivi (unità fisse, unità rimovibili, dispositivi portatili). In precedenza, era solo per le unità rimovibili; le unità fisse erano disabilitate per impostazione predefinita e il codice utilizzato per accedere ai dispositivi portatili era difettoso e danneggiato.

Dicembre 2021 – versione 2.2

Le modifiche introdotte nella versione 2.2 si sono concentrate principalmente sull'evasione del rilevamento. La funzionalità di furto di credenziali e i comandi ad essa correlati (il furto di credenziali e i comandi dell'account Google) sono stati rimossi. La maggior parte delle stringhe in questa versione sono codificate in base64.

Gennaio 2022 – versione 3.0

Nella versione 3.0, il codice è stato riorganizzato e le classi rinominate, con funzionalità rimaste invariate. Le stringhe con codifica base64 erano di nuovo in chiaro in questa versione. Abbiamo osservato le seguenti modifiche aggiuntive:

  • Comando per rubare le credenziali ripristinate in una forma diversa; ora esegue lo shellcode dal C&C
  • Comando per rimuovere completamente i file dai dispositivi portatili
  • Il comando per ottenere i file dalle unità è ora memorizzato nella cache/memorizzato nella configurazione fino al completamento. Se interrotto (ad esempio dallo spegnimento del computer), viene eseguito all'esecuzione successiva. Ciò è utile anche nel caso di unità rimovibili che potrebbero non essere collegate quando viene emesso il comando.
  • Controllo della connessione Internet aggiunto (https://www.microsoft.com); nessun codice dannoso viene eseguito se offline

Le differenze tra le versioni 2.2 e 3.0, in particolare la discrepanza nella codifica delle stringhe, suggeriscono la possibilità che le versioni siano state sviluppate in parallelo da persone diverse.

Conclusione

Dolphin è un'altra aggiunta al vasto arsenale di backdoor di ScarCruft che abusa dei servizi di cloud storage. Dopo essere stato distribuito su obiettivi selezionati, cerca file interessanti nelle unità dei sistemi compromessi e li esfiltra su Google Drive. Una funzionalità insolita trovata nelle versioni precedenti della backdoor è la possibilità di modificare le impostazioni degli account Google e Gmail delle vittime per ridurre la loro sicurezza, presumibilmente al fine di mantenere l'accesso all'account per gli autori delle minacce. Durante la nostra analisi di più versioni della backdoor Dolphin, abbiamo visto continui sviluppi e tentativi di eludere il rilevamento.

Per qualsiasi domanda sulla nostra ricerca pubblicata su WeLiveSecurity, contattaci all'indirizzo [email protected].

ESET Research offre anche report di intelligence APT privati ​​e feed di dati. Per qualsiasi domanda su questo servizio, visitare il Intelligence sulle minacce ESET .

IOCS

SHA-1 Nome del file Nome di rilevamento ESET Descrizione
F9F6C0184CEE9C1E4E15C2A73E56D7B927EA685B N/A Win64/Agente.MS Backdoor Dolphin versione 1.9 (x64)
5B70453AB58824A65ED0B6175C903AA022A87D6A N/A Win32/Spy.Agent.QET Backdoor Dolphin versione 2.0 (x86)
21CA0287EC5EAEE8FB2F5D0542E378267D6CA0A6 N/A Win64/Agente.MS Backdoor Dolphin versione 2.0 (x64)
D9A369E328EA4F1B8304B6E11B50275F798E9D6B N/A Win32/Agent.UYO Backdoor Dolphin versione 3.0 (x86)
2C6CC71B7E7E4B28C2C176B504BC5BDB687C4D41 N/A Win64/Agente.MS Backdoor Dolphin versione 3.0 (x64)

Tecniche MITRE ATT&CK

Questa tabella è stata creata utilizzando Versione 12 del framework MITRE ATT&CK.

tattica ID Nome Descrizione
Accesso iniziale T1189 Compromesso drive-by ScarCruft utilizza attacchi watering-hole per compromettere le vittime.
T1059.006 Interprete di comandi e script: Python Il caricatore Dolphin utilizza uno script Python.
T1059.007 Interprete di comandi e script: JavaScript ScarCruft ha utilizzato JavaScript dannoso per un attacco abbeveratoio.
T1203 Sfruttamento per l'esecuzione del client ScarCruft sfrutta CVE-2020-1380 per compromettere le vittime.
T1106 API nativa Dolphin utilizza le funzioni API di Windows per eseguire file e iniettare processi.
Persistenza T1053.005 Attività/Lavoro pianificato: attività pianificata Dolphin utilizza un'attività pianificata temporanea da avviare dopo l'installazione.
T1547.001 Esecuzione di avvio o accesso automatico: chiavi di esecuzione del registro / cartella di avvio Dolphin usa i tasti Run per la persistenza del suo caricatore.
Evasione della difesa T1055.002 Iniezione di processo: iniezione eseguibile portatile Dolphin può iniettare in altri processi.
T1027 File o informazioni offuscati Dolphin ha componenti crittografati.
Accesso alle credenziali T1555.003 Credenziali da archivi password: Credenziali da browser web Dolphin può ottenere password salvate dai browser.
T1539 Ruba cookie di sessione Web Dolphin può ottenere i cookie dai browser.
Ricerca e Sviluppo T1010 Scoperta della finestra dell'applicazione Dolphin acquisisce il titolo della finestra attiva.
T1083 Scoperta di file e directory Dolphin può ottenere elenchi di file e directory.
T1518.001 Scoperta del software: Scoperta del software di sicurezza Dolphin ottiene un elenco di software di sicurezza installati.
T1082 Scoperta delle informazioni di sistema Dolphin ottiene varie informazioni di sistema tra cui la versione del sistema operativo, il nome del computer e la dimensione della RAM.
T1016 Scoperta della configurazione di rete del sistema Dolphin ottiene l'indirizzo IP locale ed esterno del dispositivo.
T1016.001 Scoperta della configurazione di rete del sistema: Scoperta della connessione Internet Dolphin controlla la connettività Internet.
T1033 Scoperta del proprietario/utente del sistema Dolphin ottiene il nome utente della vittima.
T1124 Scoperta dell'ora di sistema Dolphin ottiene l'ora corrente della vittima.
Collezione T1056.001 Acquisizione input: registrazione chiavi Dolphin può registrare i tasti premuti.
T1560.002 Archivia i dati raccolti: Archivia tramite la libreria Utilizzando la libreria Zipper, Dolphin comprime e crittografa i dati raccolti prima dell'esfiltrazione.
T1119 Raccolta automatizzata Dolphin raccoglie periodicamente file con determinate estensioni dalle unità.
T1005 Dati dal sistema locale Dolphin può raccogliere file da unità locali.
T1025 Dati da supporti rimovibili Dolphin può raccogliere file da unità rimovibili.
T1074.001 Gestione temporanea dei dati: gestione temporanea dei dati locali Dolphin mette in scena i dati raccolti in una directory prima dell'esfiltrazione.
T1113 Screen Capture Dolphin può catturare schermate.
Comando e controllo T1071.001 Protocollo del livello di applicazione: protocolli Web Dolphin utilizza HTTPS per comunicare con Google Drive.
T1102.002 Servizio Web: Comunicazione Bidirezionale Dolphin comunica con Google Drive per scaricare comandi ed esfiltrare dati.
exfiltration T1020 Esfiltrazione automatizzata Dolphin esfiltra periodicamente i dati raccolti.
T1567.002 Esfiltrazione su servizio Web: Esfiltrazione su Cloud Storage Dolphin esfiltra i dati su Google Drive.

spot_img

L'ultima intelligenza

spot_img