Лажни известувања од Microsoft се користат за ширење на севернокорејскиот малициозен софтвер NarwhalRAT

Севернокорејската државно спонзорирана хакерска група позната како ScarCruft (исто така наречена APT37) е забележана како користи spear-phishing пораки кои се претставуваат како безбедносни известувања од Microsoft Account со цел да испорача малициозен софтвер наречен NarwhalRAT.

„Напаѓачката е-пошта содржеше порака што се претставуваше како безбедносно предупредување за MS сметка“, соопшти Genians Security Center (GSC). „Таа беше дизајнирана да предизвика загриженост за можна компромитација на сметката и злоупотреба на еднократни лозинки (OTP), со што примачот би бил поттикнат да го отвори прилогот.“

„Телото на пораката го упатуваше примачот да го прегледа приложеното известување. Сепак, вистинскиот прилог не беше HWP (Hangul Word Processor) документ, туку ZIP архива што содржеше злонамерна LNK-датотека.“

Пораката по е-пошта тврди дека е забележана „невообичаена активност“ поврзана со повторено генерирање на еднократни лозинки, претставувајќи го тоа како phishing обид насочен кон Microsoft сметката на жртвата од трета страна, и ја повикува жртвата да ја промени лозинката. Крајната цел на phishing пораката е да создаде лажно чувство на итност и да ја измами жртвата да поверува дека станува збор за легитимно безбедносно предупредување.

Откако ќе се отвори LNK-датотеката, се активира повеќестепен синџир на инфекција кој користи посреднички batch-скрипти за преземање и инсталирање на NarwhalRAT. Воедно се презема и легитимната Python извршна датотека од официјалната веб-страница, како и Windows безбедносна каталог-датотека (CAT).

Постојаноста на малициозниот софтвер се обезбедува преку закажана задача (scheduled task), која е конфигурирана да ја стартува CAT-датотеката одговорна за преземање и извршување на главниот товар (payload) директно во меморија, без да остава траги на дискот.

Овој малициозен софтвер, напишан во Python, е способен да:

• ги снима притисоците на тастатурата (keylogging),
• прави снимки од екранот (вклучително и во висока резолуција),
• снима звук од околината,
• прикачува содржина од директориуми,
• собира информации за активните прозорци,
• прибира податоци од USB-уреди,
• извршува наредби добиени од сервер за команда и контрола (C2),
• и да се префрла на други C2 сервери.

Називот NarwhalRAT потекнува од фактот што малициозниот софтвер ја користи патеката „%APPDATA%\naverwhale“ за привремено складирање на украдените информации на компромитираниот систем. Името на оваа скриена папка е избрано со цел да се избегне откривање, бидејќи се претставува како Naver Whale, веб-прелистувач развиен од јужнокорејската технолошка компанија Naver Corporation.

Употребата на NarwhalRAT од страна на APT37 е значајна бидејќи претставува отстапување од RokRAT, семејство на малициозен софтвер кое досега беше исклучиво поврзувано со оваа хакерска група.

„Од перспектива на C2 (Command-and-Control) инфраструктурата, малициозниот софтвер користи корејски веб-страници, вклучувајќи ги „daehoat[.]com“ и „novel21[.]co.kr“, како примарни посредници за комуникација, а истовремено имплементира и комуникациска функционалност базирана на API-то на облачната услуга pCloud“, соопшти јужнокорејската компанија за сајбер-безбедност Genians.

„Особено, во кодот беа идентификувани специфични pCloud рутини кои ги обработуваат параметрите „folderid“ и „auth“. Ова укажува дека малициозниот софтвер бил дизајниран да користи легитимна облачна услуга како секундарен C2 канал, во форма на таканаречен „dead drop resolver“.“

Според Genians, оваа активност покажува „повеќекратни сличности“ со претходни Python-базирани напади организирани од ScarCruft, вклучувајќи spear-phishing кампањи кои користеле мамки како потврди за билети и покани за настани за да ги наведат потенцијалните жртви да отворат ZIP архиви што содржат LNK-датотеки.

Синџирот на напад функционира на сличен начин: LNK-датотеката служи како посредник за преземање на обфускирана batch-скрипта од оддалечен C2 сервер. Потоа се преземаат Python извршната датотека и CAT-датотека, што на крај резултира со инсталирање на компајлирана Python-скрипта способна за далечинско извршување на команди и испраќање на резултатите назад до C2 серверот.

Интересно е што имињата на закажаните задачи (scheduled tasks) кои се користат за обезбедување постојаност следат слична шема на именување. Додека инфекцијата со NarwhalRAT креира задача наречена „MicrosoftUserInterfacePicturesUpdateTackMachine“, вториот синџир користи име „MicrosoftMusicLibrariesPackageTaskMachine“.

„Генерално, NarwhalRAT се оценува како напреден RAT (Remote Access Trojan) малициозен софтвер кој интегрира повеќестепен вчитувач базиран на Python, структура за извршување во меморија (in-memory execution), оперативна рамка со повеќе C2 сервери и селективни функции за собирање информации“, заклучува Genians.

Извори:

• The Hacker News – Fake Microsoft Alerts Used to Deploy North Korean NarwhalRAT Malware The Hacker News