Северокорейская группировка ScarCruft (APT37), по данным южнокорейской компании Genians Security Center, развернула новую кампанию целевого фишинга с использованием ранее не документированного трояна удалённого доступа NarwhalRAT. Атакующие рассылают письма, имитирующие уведомления безопасности учётной записи Microsoft, с предупреждением об аномальной активности и многократной генерации одноразовых паролей. Цель — заставить жертву открыть вложенный ZIP-архив с вредоносным LNK-файлом, запускающим многоступенчатую цепочку заражения. Кампания нацелена на пользователей Windows и представляет серьёзную угрозу прежде всего для южнокорейских организаций.
Механизм первоначального доступа
Как сообщает Genians, фишинговое письмо оформлено как легитимное оповещение безопасности Microsoft Account. Текст сообщения предупреждает получателя о подозрительной активности — якобы обнаруженных попытках фишинга со стороны третьих лиц, связанных с повторной генерацией одноразовых паролей (OTP). Жертве предлагается ознакомиться с вложенным «рекомендательным документом» и сменить пароль.
Вложение маскируется под документ формата HWP (Hangul Word Processor — стандартный формат документов в Южной Корее), однако фактически представляет собой ZIP-архив, содержащий вредоносный LNK-файл. Расчёт на создание ложного чувства срочности — классический приём социальной инженерии, эффективность которого возрастает при точном воспроизведении визуального стиля уведомлений Microsoft.
Цепочка заражения и техники закрепления
Запуск LNK-файла инициирует многоступенчатую цепочку заражения:
- LNK-файл активирует промежуточные пакетные скрипты (batch scripts), загружающие компоненты с удалённого сервера управления
- Загружается легитимный исполняемый файл Python с официального сайта — приём, затрудняющий обнаружение антивирусными решениями
- Одновременно загружается файл каталога безопасности Windows (CAT-файл), используемый для доставки основной полезной нагрузки
- Закрепление в системе обеспечивается через запланированную задачу с именем MicrosoftUserInterfacePicturesUpdateTackMachine
- Запланированная задача запускает CAT-файл, который извлекает и выполняет основную полезную нагрузку непосредственно в памяти, не оставляя артефактов на диске
Выполнение в памяти без записи на диск — ключевая особенность, существенно усложняющая обнаружение средствами традиционного антивирусного анализа и цифровой криминалистики.
Возможности NarwhalRAT
По данным исследователей, NarwhalRAT представляет собой троян удалённого доступа на базе Python с широким набором функций сбора информации:
- Перехват нажатий клавиш (кейлоггинг)
- Захват снимков экрана, включая поддержку изображений высокого разрешения
- Запись окружающего звука через микрофон
- Выгрузка содержимого каталогов и сбор данных с USB-носителей
- Сбор информации об активных окнах
- Выполнение команд, поступающих от сервера управления (C2)
- Динамическое переключение между серверами C2
Название NarwhalRAT происходит от пути %APPDATA%\naverwhale, используемого вредоносом для промежуточного хранения собранных данных. Скрытый каталог имитирует директорию браузера Naver Whale, разработанного южнокорейской компанией Naver Corporation, — приём маскировки, рассчитанный на то, что администраторы и средства защиты не обратят внимания на знакомое название.
Инфраструктура управления
Вредоносное ПО использует многоуровневую схему коммуникации с серверами управления. В качестве основных ретрансляторов, по данным Genians, задействованы корейские веб-сайты:
- daehoat[.]com
- novel21[.]co.kr
Дополнительно в коде обнаружены процедуры взаимодействия с API облачного хранилища pCloud, обрабатывающие параметры folderid и auth. Исследователи квалифицируют это как использование легитимного облачного сервиса в качестве резервного канала управления по модели dead drop resolver (техника MITRE ATT&CK T1102.001). Такой подход позволяет маскировать трафик управления под обычное взаимодействие с облачным хранилищем и обеспечивает отказоустойчивость при блокировке основных доменов.
Связь с предыдущими кампаниями
Genians отмечает множественные совпадения с ранее задокументированными атаками на базе Python, приписываемыми ScarCruft. В предшествующих кампаниях использовались приманки в виде подтверждений бронирования билетов и приглашений на мероприятия, доставляемые через ZIP-архивы с LNK-файлами. Цепочка заражения строилась по аналогичной схеме: LNK-файл загружал обфусцированный пакетный скрипт, затем — исполняемый файл Python и CAT-файл, что приводило к развёртыванию скомпилированного скрипта Python с функциями удалённого выполнения команд.
Характерная деталь — схожая конвенция именования запланированных задач. Если NarwhalRAT использует имя MicrosoftUserInterfacePicturesUpdateTackMachine, то в предыдущей кампании задача называлась MicrosoftMusicLibrariesPackageTaskMachine. Обе строки имитируют системные задачи Microsoft, следуя единому шаблону формирования имён.
Важно учитывать, что атрибуция кампании группировке APT37 и оценка возможностей NarwhalRAT основаны преимущественно на анализе одного исследовательского центра. Независимое подтверждение от других вендоров или государственных структур на момент публикации отсутствует.
Рекомендации по защите
- Фильтрация вложений: настройте почтовые шлюзы на блокировку или карантин ZIP-архивов, содержащих LNK-файлы. Легитимные уведомления безопасности Microsoft не содержат вложений такого типа
- Мониторинг запланированных задач: отслеживайте создание задач с длинными именами, имитирующими системные компоненты Microsoft, особенно содержащими комбинации слов вроде «Microsoft*Task*Machine»
- Блокировка индикаторов компрометации: добавьте домены daehoat[.]com и novel21[.]co.kr в чёрные списки на уровне DNS и прокси-серверов
- Контроль облачных сервисов: при отсутствии бизнес-необходимости ограничьте доступ к API pCloud на уровне сетевых политик
- Обнаружение аномалий: настройте правила EDR на выявление загрузки исполняемых файлов Python из интернета с последующим выполнением скриптов, а также на мониторинг создания скрытых каталогов в %APPDATA% с именами, имитирующими легитимное ПО
- Обучение персонала: проинформируйте сотрудников, что настоящие уведомления безопасности Microsoft Account не требуют открытия вложений и не содержат ZIP-архивов
Кампания с NarwhalRAT демонстрирует эволюцию инструментария APT37 в сторону модульных решений на Python с выполнением в памяти и многоканальной инфраструктурой управления. Организациям, входящим в потенциальный круг целей группировки — прежде всего южнокорейским государственным структурам и компаниям, — следует приоритетно внедрить блокировку указанных индикаторов компрометации, настроить мониторинг запланированных задач и ограничить выполнение LNK-файлов из почтовых вложений на уровне групповых политик.
