Die nordkoreanische Gruppierung ScarCruft (APT37) hat nach Angaben des südkoreanischen Unternehmens Genians Security Center eine neue gezielte Phishing-Kampagne mit einem bislang nicht dokumentierten Remote-Access-Trojaner namens NarwhalRAT gestartet. Die Angreifer versenden E-Mails, die Sicherheitsbenachrichtigungen für Microsoft-Konten imitieren und vor anomaler Aktivität sowie mehrfacher Generierung von Einmalpasswörtern warnen. Ziel ist es, das Opfer dazu zu bringen, das beigefügte ZIP-Archiv mit einer bösartigen LNK-Datei zu öffnen, die eine mehrstufige Infektionskette auslöst. Die Kampagne zielt auf Windows-Nutzer ab und stellt insbesondere für südkoreanische Organisationen eine erhebliche Bedrohung dar.
Mechanismus des Erstzugriffs
Wie Genians berichtet, ist die Phishing-Mail als legitime Microsoft-Account-Sicherheitsbenachrichtigung gestaltet. Der Nachrichtentext warnt den Empfänger vor verdächtiger Aktivität – angeblich entdeckten Phishing-Versuchen Dritter im Zusammenhang mit der wiederholten Generierung von Einmalpasswörtern (OTP). Das Opfer wird aufgefordert, das beigefügte „Empfehlungsdokument“ zu lesen und das Passwort zu ändern.
Der Anhang tarnt sich als Dokument im HWP-Format (Hangul Word Processor – der Standard-Dokumenttyp in Südkorea), ist tatsächlich jedoch ein ZIP-Archiv, das eine bösartige LNK-Datei enthält. Die Angreifer setzen bewusst auf ein falsches Gefühl von Dringlichkeit – eine klassische Social-Engineering-Taktik, deren Wirksamkeit durch die möglichst genaue Nachbildung des visuellen Stils von Microsoft-Benachrichtigungen zusätzlich gesteigert wird.
Infektionskette und Persistenztechniken
Das Ausführen der LNK-Datei startet eine mehrstufige Infektionskette:
- Die LNK-Datei aktiviert zwischengeschaltete Batch-Skripte, die Komponenten von einem entfernten Command-and-Control-Server herunterladen
- Ein legitimer Python-Executables wird von der offiziellen Website geladen – ein Vorgehen, das die Erkennung durch Antivirenlösungen erschwert
- Gleichzeitig wird eine Windows-Sicherheitskatalogdatei (CAT-Datei) heruntergeladen, die zur Auslieferung der Hauptnutzlast dient
- Die Persistenz im System wird über eine geplante Aufgabe mit dem Namen MicrosoftUserInterfacePicturesUpdateTackMachine sichergestellt
- Die geplante Aufgabe startet die CAT-Datei, die die Hauptnutzlast direkt im Arbeitsspeicher extrahiert und ausführt, ohne Artefakte auf dem Datenträger zu hinterlassen
Die ausschließliche Ausführung im Speicher ohne Schreibzugriffe auf die Festplatte ist ein zentrales Merkmal, das die Erkennung durch traditionelle Antivirenanalysen und die digitale Forensik erheblich erschwert.
Fähigkeiten von NarwhalRAT
Den Forschern zufolge handelt es sich bei NarwhalRAT um einen Python-basierten Remote-Access-Trojaner mit umfangreichen Funktionen zur Informationsbeschaffung:
- Erfassung von Tastatureingaben (Keylogging)
- Aufnahme von Screenshots, einschließlich Unterstützung für hochauflösende Bilder
- Mitschnitt von Umgebungsgeräuschen über das Mikrofon
- Exfiltration von Verzeichnisinhalten und Sammlung von Daten von USB-Datenträgern
- Sammlung von Informationen über aktive Fenster
- Ausführung von Befehlen, die vom Command-and-Control-Server (C2) empfangen werden
- Dynamischer Wechsel zwischen verschiedenen C2-Servern
Der Name NarwhalRAT leitet sich von dem Pfad %APPDATA%\naverwhale ab, den die Malware zur temporären Speicherung der gesammelten Daten nutzt. Das versteckte Verzeichnis imitiert das Verzeichnis des Browsers Naver Whale des südkoreanischen Unternehmens Naver Corporation – eine Tarntechnik, die darauf abzielt, dass Administratoren und Sicherheitslösungen den vertraut wirkenden Namen nicht weiter hinterfragen.
Steuerungsinfrastruktur
Die Malware nutzt ein mehrstufiges Kommunikationsschema mit den Steuerungsservern. Als primäre Relays dienen nach Angaben von Genians koreanische Websites:
- daehoat[.]com
- novel21[.]co.kr
Zusätzlich wurden im Code Routinen für die Interaktion mit der API des Cloud-Speicherdienstes pCloud identifiziert, die die Parameter folderid und auth verarbeiten. Die Forscher stufen dies als Nutzung eines legitimen Cloud-Dienstes als Ausweichkanal nach dem Modell dead drop resolver (Technik MITRE ATT&CK T1102.001) ein. Dieser Ansatz ermöglicht es, den Steuerungstraffic als gewöhnliche Kommunikation mit einem Cloud-Speicher zu tarnen und stellt die Ausfallsicherheit bei einer Blockierung der primären Domains sicher.
Verbindung zu früheren Kampagnen
Genians verweist auf zahlreiche Übereinstimmungen mit zuvor dokumentierten Python-basierten Angriffen, die ScarCruft zugeschrieben werden. In früheren Kampagnen kamen Köder in Form von Ticketbuchungsbestätigungen und Veranstaltungseinladungen zum Einsatz, die über ZIP-Archive mit LNK-Dateien ausgeliefert wurden. Die Infektionskette war nach einem ähnlichen Muster aufgebaut: Die LNK-Datei lud ein verschleiertes Batch-Skript, anschließend einen Python-Executable und eine CAT-Datei, was zur Ausführung eines kompilierten Python-Skripts mit Remote-Command-Funktionen führte.
Ein charakteristisches Detail ist die ähnliche Namenskonvention für geplante Aufgaben. Während NarwhalRAT den Namen MicrosoftUserInterfacePicturesUpdateTackMachine verwendet, hieß die Aufgabe in der vorherigen Kampagne MicrosoftMusicLibrariesPackageTaskMachine. Beide Bezeichnungen imitieren Microsoft-Systemaufgaben und folgen einem einheitlichen Muster zur Generierung der Namen.
Es ist wichtig zu berücksichtigen, dass die Zuordnung der Kampagne zur Gruppe APT37 und die Einschätzung der Fähigkeiten von NarwhalRAT überwiegend auf der Analyse eines einzelnen Forschungszentrums beruhen. Eine unabhängige Bestätigung durch andere Hersteller oder staatliche Stellen liegt zum Zeitpunkt der Veröffentlichung nicht vor.
Empfehlungen zum Schutz
- Filterung von Anhängen: Konfigurieren Sie Mail-Gateways so, dass ZIP-Archive mit LNK-Dateien blockiert oder in Quarantäne verschoben werden. Legitime Microsoft-Sicherheitsbenachrichtigungen enthalten keine Anhänge dieses Typs
- Überwachung geplanter Aufgaben: Überwachen Sie die Erstellung von Aufgaben mit langen Namen, die Systemkomponenten von Microsoft imitieren, insbesondere solchen mit Wortkombinationen wie „Microsoft*Task*Machine“
- Blockierung von Indikatoren einer Kompromittierung: Fügen Sie die Domains daehoat[.]com und novel21[.]co.kr in DNS- und Proxy-Blacklistings ein
- Kontrolle von Cloud-Diensten: Beschränken Sie – sofern geschäftlich nicht erforderlich – den Zugriff auf die pCloud-API über Netzwerkrichtlinien
- Erkennung von Anomalien: Richten Sie EDR-Regeln ein, um das Herunterladen von Python-Executables aus dem Internet mit anschließender Skriptausführung zu erkennen und die Erstellung versteckter Verzeichnisse in %APPDATA% mit Namen, die legitime Software imitieren, zu überwachen
- Schulung des Personals: Informieren Sie Mitarbeitende darüber, dass echte Microsoft-Account-Sicherheitsbenachrichtigungen nicht das Öffnen von Anhängen erfordern und keine ZIP-Archive enthalten
Die Kampagne mit NarwhalRAT verdeutlicht die Weiterentwicklung des Werkzeugkastens von APT37 hin zu modularen Python-Lösungen mit Ausführung im Speicher und einer mehrkanaligen Steuerungsinfrastruktur. Organisationen, die potenziell im Zielspektrum der Gruppe liegen – insbesondere südkoreanische Behörden und Unternehmen –, sollten vorrangig die Blockierung der genannten Indikatoren einer Kompromittierung umsetzen, die Überwachung geplanter Aufgaben einrichten und die Ausführung von LNK-Dateien aus E-Mail-Anhängen auf Ebene der Gruppenrichtlinien einschränken.
