در تازهترین موج حملات سایبری هدفمند، گروه تهدیدکننده وابسته به کره شمالی ScarCruft که با نام APT37 نیز شناخته میشود، با بهرهگیری از ایمیلهای فیشینگ هدفمند و جعل هشدارهای امنیتی حسابهای مایکروسافت اقدام به توزیع بدافزار NarwhalRAT کرده است. در این کمپین، بدافزار از طریق سناریوهای مهندسی اجتماعی (social engineering) و سوءاستفاده از اعتماد کاربران به هشدارهای امنیتی، بهعنوان پیلود اصلی حمله مستقر میشود.
بر اساس گزارش Genians Security Center (GSC)، مهاجمان در این عملیات با ایجاد حس فوریت و القای فعالیتهای مشکوک مانند سوءاستفاده از رمزهای یکبار مصرف (OTP)، قربانی را به اجرای فایل پیوست مخرب ترغیب میکنند؛ اقدامی که در نهایت منجر به فعالسازی زنجیره آلودگی و استقرار کامل بدافزار NarwhalRAT روی سیستم هدف میشود.
تحلیل فنی زنجیره آلودگی و مکانیزم فریب
در این کمپین، مهاجمان ایمیلهایی با مضمون فعالیت غیرعادی در حساب مایکروسافت ارسال میکنند و در متن پیام از کاربر میخواهند برای بررسی جزئیات به فایل اطلاعیه (advisory) پیوست مراجعه کند. این پیوست واقعی یک سند HWP مربوط به نرمافزار Hangul Word Processor نیست، بلکه یک آرشیو ZIP است که درون آن یک فایل مخرب از نوع LNK قرار دارد.
در متن ایمیل ادعا میشود که فعالیتی غیرعادی مرتبط با تولید مکرر رمزهای یکبار مصرف در حساب کاربری شناسایی شده است. مهاجمان این موضوع را به یک تلاش فیشینگ از سوی شخص ثالث نسبت داده و از کاربر میخواهند برای جلوگیری از سوءاستفاده احتمالی، رمز عبور حساب خود را تغییر دهد. هدف این سناریو ایجاد حس فوریت و القای این تصور در قربانی است که ایمیل دریافتشده یک هشدار امنیتی معتبر از سوی مایکروسافت است.
با اجرای فایل LNK، زنجیره آلودگی چندمرحلهای آغاز میشود که در نهایت منجر به استقرار بدافزار NarwhalRAT روی سیستم قربانی میشود. در این مرحله، فایل LNK با استفاده از مجموعهای از بچ اسکریپتها (Batch Scripts) اجزای موردنیاز برای ادامه حمله را دانلود میکند. از جمله:
- دریافت نسخه قانونی فایل اجرایی پایتون (Python executable) از منبع رسمی
- بازیابی فایلهای Windows Security Catalog (CAT)
برای ایجاد پایداری در سیستم (Persistence)، یک تسک زمانبندیشده (Scheduled Task) روی میزبان ایجاد میشود که اجرای فایل CAT را بر عهده دارد. این فایل در نهایت پیلود اصلی را در حافظه اجرا میکند؛ روشی که بدون بر جای گذاشتن هیچگونه آرتیفکت روی دیسک انجام میشود.
قابلیتهای جاسوسی بدافزار NarwhalRAT
بدافزار NarwhalRAT که بر پایه زبان پایتون توسعه یافته است، بهعنوان یک ابزار دسترسی از راه دور (RAT) پیشرفته و چندمنظوره عمل میکند. این بدافزار مجموعهای از قابلیتهای جاسوسی و سرقت اطلاعات را در اختیار مهاجمان قرار میدهد، از جمله:
- ثبت کلیدهای فشردهشده کاربر (Keystroke Logging)
- تهیه اسکرینشات از سیستم با پشتیبانی از تصاویر با وضوح بالا
- ضبط صدای محیط و جمعآوری داده از حافظههای جانبی USB
- سرقت محتوای دایرکتوریها و اجرای دستورات دریافتی از سرور C2
استفاده از این بدافزار نشان میدهد که گروه ScarCruft رویکرد عملیاتی خود را تغییر داده و از استفاده از بدافزار قدیمی RokRAT به سمت ابزارهای پیچیدهتر، چندمرحلهای و مبتنی بر اجرای در حافظه حرکت کرده است.
تکنیکهای مخفیسازی و زیرساخت فرماندهی و کنترل
نام بدافزار NarwhalRAT از یک دایرکتوری مخفی با مسیر %APPDATA%\naverwhale گرفته شده است. این مسیر برای ذخیره و مرحلهبندی موقت دادههای سرقتشده روی سیستم قربانی مورد استفاده قرار میگیرد. مهاجمان با انتخاب نام naverwhale تلاش کردهاند این مسیر را بهگونهای ایجاد کنند که شبیه پوشههای مربوط به مرورگر کرهای Naver Whale به نظر برسد؛ مرورگری که توسط شرکت Naver Corporation توسعه یافته است. این تکنیک با هدف دشوارتر کردن شناسایی و تحلیل توسط ابزارهای امنیتی و آنتیویروسها به کار گرفته شده است.
از منظر زیرساخت فرماندهی و کنترل (C2)، این بدافزار از وبسایتهای کرهای از جمله daehoat[.]com و novel21[.]co.kr بهعنوان کانالهای ارتباطی اصلی استفاده میکند و در کنار آن، از API سرویس ذخیرهسازی ابری pCloud نیز بهره میبرد.
در کد بدافزار، توابع مرتبط با pCloud برای پردازش پارامترهای folderid و auth شناسایی شدهاند. این موضوع نشان میدهد که بدافزار بهگونهای طراحی شده است تا از یک سرویس ابری قانونی بهعنوان کانال دوم فرماندهی و کنترل در قالب تکنیک Dead Drop Resolver (مکانیزم بازیابی آدرس مخفی) استفاده کند.
تحلیل تاکتیکهای نفوذ و زنجیره حمله ScarCruft
طبق گزارش تحلیلگران Genians، این کمپین شباهتهای ساختاری بسیار زیادی با حملات پایتونمحور قبلی گروه ScarCruft دارد. در این حملات، مهاجمان از طعمههای مهندسی اجتماعی نظیر تأییدیه رزرو بلیت یا دعوتنامه رویداد استفاده میکنند تا قربانیان را به باز کردن فایلهای ZIP حاوی فایل مخرب LNK ترغیب کنند.
زنجیره عملیاتی بدافزار NarwhalRAT به صورت گامبهگام مطابق الگوی زیر اجرا میشود:
- اجرای نفوذ: فایل LNK بهعنوان یک کانال انتقال (Conduit) عمل کرده و یک بچ اسکریپت مبهمسازیشده (Obfuscated) را از سرور C2 راه دور دانلود میکند.
- آمادهسازی محیط اجرا: این اسکریپت در مرحله بعد، فایل باینری پایتون و یک فایل CAT را دریافت میکند.
- استقرار پیلود نهایی: در مرحله نهایی، یک اسکریپت پایتون کامپایلشده روی سیستم مستقر میشود.
- کنترل و سرقت دادهها: این پیلود قادر به اجرای کد از راه دور (RCE) است و نتایج عملیات را مستقیماً به سرور C2 ارسال میکند.
تداوم حضور و تحلیل نهایی قابلیتهای تهدید
نکته جالب توجه در این کمپین، شباهت الگوی نامگذاری تسکهای زمانبندیشده برای تثبیت پایداری در سیستم قربانی است. در زنجیره آلودگی مرتبط با بدافزار NarwhalRAT، برای ایجاد پایداری در سیستم یک تسک زمانبندیشده با نام فریبنده MicrosoftUserInterfacePicturesUpdateTaskMachine ایجاد میشود. با این حال، در زنجیره دوم این حملات مهاجمان از نام مشابه دیگری یعنی MicrosoftMusicLibrariesPackageTaskMachine برای این تسک استفاده کردهاند.
طبق ارزیابیهای نهایی مرکز امنیتی Genians، این ابزار یک بدافزار RAT پیشرفته محسوب میشود که ویژگیهای کلیدی زیر را با هم ترکیب کرده است:
- لودر چندمرحلهای (Multi‑stage Loader): این بدافزار با تکیه بر زیرساخت مبتنی بر پایتون، مراحل مختلف نفوذ و اجرای پیلودها را بهصورت گامبهگام مدیریت میکند.
- اجرای کد در حافظه بدون ایجاد فایل روی دیسک: مهاجمان کد مخرب را بدون ایجاد آرتیفکت روی دیسک، مستقیماً در حافظه سیستم اجرا میکنند تا شناسایی آن دشوارتر شود.
- فریمورک عملیاتی چندسروری (Multi‑C2 Framework): بدافزار با چندین سرور C2 ارتباط برقرار کرده و مدیریت عملیات را بهصورت پویا انجام میدهد.
- جمعآوری گزینشی اطلاعات: این بدافزار دادههای هدفمند را بر اساس اولویتهای تعریفشده مهاجم شناسایی و استخراج میکند.
