Поддельные уведомления безопасности Microsoft используются для распространения северокорейского NarwhalRAT

Северокорейская хакерская группировка ScarCruft (APT37) применяет целевые фишинговые письма, имитирующие уведомления безопасности учётных записей Microsoft, для доставки нового вредоносного ПО — NarwhalRAT.

Как работает атака?

Фишинговое письмо сообщает жертве об «аномальной активности» — якобы повторных попытках генерации одноразовых паролей со стороны третьих лиц. Цель — создать ощущение срочности и убедить получателя открыть вложение, которое преподносится как официальное руководство по безопасности.

На деле вложение представляет собой ZIP-архив с вредоносным LNK-файлом. После запуска он инициирует многоэтапную цепочку заражения:

• Загружаются промежуточные batch-скрипты
• Скачивается легитимный интерпретатор Python с официального сайта
• Загружается файл Windows CAT (security catalog)
• Обеспечивается закрепление в системе через задание планировщика, которое запускает CAT-файл, загружающий и выполняющий основную нагрузку непосредственно в памяти — без записи на диск

Возможности NarwhalRAT

Вредонос, написанный на Python, обладает широким спектром функций:

• Кейлоггинг — перехват нажатий клавиш
• Снятие скриншотов в высоком разрешении
• Запись звука с микрофона
• Загрузка содержимого директорий
• Сбор данных с USB-носителей
• Выполнение команд от C2-сервера с возможностью смены сервера

Название NarwhalRAT происходит от скрытой директории %APPDATA%\naverwhale, используемой для хранения собранных данных. Имя выбрано намеренно — для маскировки под браузер Naver Whale южнокорейской компании Naver.

Инфраструктура C2

Для командного взаимодействия вредонос использует несколько каналов:

• Корейские сайты — daehoat[.]com и novel21[.]co.kr — в качестве основных ретрансляторов
• API облачного хранилища pCloud — в качестве резервного C2-канала по схеме dead drop resolver

Связь с предыдущими кампаниями APT37

Исследователи Genians Security Center отмечают, что активность демонстрирует многочисленные сходства с предыдущими Python-атаками ScarCruft — в частности, с кампаниями, использовавшими подтверждения билетов и приглашения на мероприятия в качестве приманок. Схема атаки схожа, а имена заданий планировщика для закрепления следуют одному и тому же соглашению об именовании.

Применение NarwhalRAT примечательно тем, что знаменует отход от RokRAT — вредоносного ПО, эксклюзивно ассоциировавшегося с этой группировкой.

«В целом NarwhalRAT оценивается как продвинутый RAT, интегрирующий многоэтапный Python-загрузчик, структуру выполнения в памяти, многоуровневую C2-инфраструктуру и функции избирательного сбора информации.»

— Genians Security Center