Північнокорейське угруповання ScarCruft (APT37), за даними південнокорейської компанії Genians Security Center, розгорнуло нову кампанію цільового фішингу з використанням раніше не задокументованого трояна віддаленого доступу NarwhalRAT. Зловмисники розсилають листи, що імітують сповіщення безпеки облікового запису Microsoft, із попередженням про аномальну активність і багаторазову генерацію одноразових паролів. Мета — змусити жертву відкрити вкладений ZIP-архів зі зловмисним LNK-файлом, який запускає багатоступеневий ланцюжок зараження. Кампанія націлена на користувачів Windows і становить серйозну загрозу насамперед для південнокорейських організацій.
Механізм початкового доступу
Як повідомляє Genians, фішинговий лист оформлено як легітимне сповіщення безпеки Microsoft Account. Текст повідомлення попереджає одержувача про підозрілу активність — нібито виявлені спроби фішингу з боку третіх осіб, пов’язані з повторною генерацією одноразових паролів (OTP). Жертві пропонується ознайомитися з вкладеним «рекомендаційним документом» і змінити пароль.
Вкладення маскується під документ у форматі HWP (Hangul Word Processor — стандартний формат документів у Південній Кореї), однак фактично є ZIP-архівом, що містить зловмисний LNK-файл. Розрахунок робиться на створення помилкового відчуття терміновості — класичний прийом соціальної інженерії, ефективність якого зростає за умови точного відтворення візуального стилю сповіщень Microsoft.
Ланцюжок зараження та техніки закріплення
Запуск LNK-файла ініціює багатоступеневий ланцюжок зараження:
- LNK-файл активує проміжні пакетні скрипти (batch scripts), які завантажують компоненти з віддаленого сервера керування
- Завантажується легітимний виконуваний файл Python з офіційного сайту — прийом, що ускладнює виявлення антивірусними рішеннями
- Одночасно завантажується файл каталогу безпеки Windows (CAT-файл), який використовується для доставки основного корисного навантаження
- Закріплення в системі забезпечується через заплановане завдання з назвою MicrosoftUserInterfacePicturesUpdateTackMachine
- Заплановане завдання запускає CAT-файл, який вилучає та виконує основне корисне навантаження безпосередньо в пам’яті, не залишаючи артефактів на диску
Виконання в пам’яті без запису на диск — ключова особливість, що суттєво ускладнює виявлення засобами традиційного антивірусного аналізу та цифрової криміналістики.
Можливості NarwhalRAT
За даними дослідників, NarwhalRAT є трояном віддаленого доступу на базі Python із широким набором функцій зі збирання інформації:
- Перехоплення натискань клавіш (кейлоггінг)
- Захоплення знімків екрана, зокрема зображень високої роздільної здатності
- Запис навколишнього звуку через мікрофон
- Вивантаження вмісту каталогів і збирання даних з USB-носіїв
- Збирання інформації про активні вікна
- Виконання команд, що надходять від сервера керування (C2)
- Динамічне перемикання між серверами C2
Назва NarwhalRAT походить від шляху %APPDATA%\naverwhale, який використовується шкідливим ПЗ для проміжного зберігання зібраних даних. Прихований каталог імітує директорію браузера Naver Whale, розробленого південнокорейською компанією Naver Corporation, — прийом маскування, розрахований на те, що адміністратори та засоби захисту не звернуть уваги на знайому назву.
Інфраструктура керування
Шкідливе ПЗ використовує багаторівневу схему комунікації з серверами керування. Як основні ретранслятори, за даними Genians, задіяні корейські вебсайти:
- daehoat[.]com
- novel21[.]co.kr
Додатково в коді виявлено процедури взаємодії з API хмарного сховища pCloud, що обробляють параметри folderid і auth. Дослідники кваліфікують це як використання легітимного хмарного сервісу як резервного каналу керування за моделлю dead drop resolver (техніка MITRE ATT&CK T1102.001). Такий підхід дозволяє маскувати трафік керування під звичайну взаємодію з хмарним сховищем і забезпечує відмовостійкість у разі блокування основних доменів.
Зв’язок із попередніми кампаніями
Genians відзначає численні збіги з раніше задокументованими атаками на базі Python, які приписують ScarCruft. У попередніх кампаніях як приманки використовувалися підтвердження бронювання квитків і запрошення на заходи, що доставлялися через ZIP-архіви з LNK-файлами. Ланцюжок зараження будувався за аналогічною схемою: LNK-файл завантажував обфускований пакетний скрипт, потім — виконуваний файл Python і CAT-файл, що призводило до розгортання скомпільованого скрипту Python із функціями віддаленого виконання команд.
Характерна деталь — схожа конвенція найменування запланованих завдань. Якщо NarwhalRAT використовує назву MicrosoftUserInterfacePicturesUpdateTackMachine, то в попередній кампанії завдання називалося MicrosoftMusicLibrariesPackageTaskMachine. Обидва рядки імітують системні завдання Microsoft, дотримуючись єдиного шаблону формування назв.
Варто враховувати, що атрибуція кампанії угрупованню APT37 та оцінка можливостей NarwhalRAT ґрунтуються переважно на аналізі одного дослідницького центру. Незалежне підтвердження від інших вендорів або державних структур на момент публікації відсутнє.
Рекомендації із захисту
- Фільтрація вкладень: налаштуйте поштові шлюзи на блокування або карантин ZIP-архівів, що містять LNK-файли. Легітимні сповіщення безпеки Microsoft не містять вкладень такого типу
- Моніторинг запланованих завдань: відстежуйте створення завдань із довгими назвами, що імітують системні компоненти Microsoft, особливо таких, які містять комбінації слів на кшталт «Microsoft*Task*Machine»
- Блокування індикаторів компрометації: додайте домени daehoat[.]com і novel21[.]co.kr до чорних списків на рівні DNS і проксісерверів
- Контроль хмарних сервісів: за відсутності бізнес-потреби обмежте доступ до API pCloud на рівні мережевих політик
- Виявлення аномалій: налаштуйте правила EDR на виявлення завантаження виконуваних файлів Python з інтернету з подальшим виконанням скриптів, а також на моніторинг створення прихованих каталогів у %APPDATA% з назвами, що імітують легітимне ПЗ
- Навчання персоналу: поінформуйте співробітників, що справжні сповіщення безпеки Microsoft Account не потребують відкриття вкладень і не містять ZIP-архівів
Кампанія з NarwhalRAT демонструє еволюцію інструментарію APT37 у бік модульних рішень на Python із виконанням у пам’яті та багатоканальною інфраструктурою керування. Організаціям, які входять до потенційного кола цілей угруповання — насамперед південнокорейським державним структурам і компаніям, — варто пріоритетно впровадити блокування зазначених індикаторів компрометації, налаштувати моніторинг запланованих завдань і обмежити виконання LNK-файлів із поштових вкладень на рівні групових політик.
