De door de Noord-Koreaanse staat gesponsorde hackgroep bekend als ScarCruft (ook bekend als APT37) is waargenomen dat er spear-phishing-berichten worden gebruikt die beveiligingsmeldingen van Microsoft-accounts nabootsen om malware af te leveren, genaamd NarwalRAT.
“De aanvals-e-mail bevatte een bericht dat een beveiligingswaarschuwing voor een MS-account nabootste”, aldus het Genians Security Center (GSC). “Het was ontworpen om bezorgdheid te wekken over mogelijke accountcompromis en OTP-misbruik, waardoor de ontvanger ertoe werd aangezet de bijlage uit te voeren.”
“De e-mailtekst instrueerde de ontvanger om naar het bijgevoegde advies te verwijzen. De daadwerkelijke bijlage was echter geen HWP-document (Hangul Word Processor), maar een ZIP-archief dat een kwaadaardig LNK-bestand bevatte.”
Het e-mailbericht claimt “abnormale activiteit” in verband met het herhaaldelijk genereren van eenmalige wachtwoorden, waarbij het wordt voorgesteld als een phishing-poging gericht op het Microsoft-account van het doelwit door een derde partij, en er bij hen op wordt aangedrongen hun wachtwoord te wijzigen. Het uiteindelijke doel van het phishing-bericht is om een vals gevoel van urgentie te wekken en het slachtoffer te misleiden zodat het de e-mail als een legitieme beveiligingswaarschuwing interpreteert.
Zodra het LNK-bestand is gelanceerd, initieert het een meerfasige infectieketen die gebruik maakt van tussenliggende batchscripts om NarwhalRAT te downloaden en te installeren, samen met het ophalen van het legitieme uitvoerbare Python-bestand van de officiële website en een Windows-beveiligingscatalogus (CAT)-bestand. Persistentie wordt bereikt via een geplande taak, die is geconfigureerd om het CAT-bestand te starten dat verantwoordelijk is voor het ophalen en uitvoeren van de belangrijkste payload in het geheugen, zonder artefacten op schijf achter te laten.
De op Python gebaseerde malware is uitgerust om toetsaanslagen te loggen, schermafbeeldingen vast te leggen (met ondersteuning voor afbeeldingen met hoge resolutie), omgevingsaudio op te nemen, mapinhoud te uploaden, actieve vensterdetails te verzamelen, gegevens van USB-media te verzamelen, instructies uit te voeren die zijn uitgegeven door een command-and-control (C2) server, en te schakelen tussen C2-servers.
De naam NarwhalRAT is een verwijzing naar het gebruik van “%APPDATA%naverwhale” door de malware om de verzamelde informatie op de besmette host te verspreiden. De naam van de verborgen map is een poging om detectie te omzeilen door zich voor te doen als Naver Whale, een webbrowser ontwikkeld door het Zuid-Koreaanse technologiebedrijf Naver Corporation.
De inzet van NarwhalRAT door APT37 is opmerkelijk omdat het een afwijking markeert van RokRAT, een malwarefamilie die exclusief wordt toegeschreven aan de hackgroep.
“Vanuit een C2-infrastructuurperspectief gebruikt de malware Koreaanse websites, waaronder ‘daehoat(.)com’ en ‘novel21(.)co.kr’ als primaire communicatierelais, terwijl hij ook communicatiefunctionaliteit implementeert op basis van de pCloud cloudopslag-API”, aldus het Zuid-Koreaanse cyberbeveiligingsbedrijf.
“In het bijzonder werden pCloud-specifieke routines geïdentificeerd die de parameters ‘folderid’ en ‘auth’ verwerken in de code. Dit geeft aan dat de malware is ontworpen om een legitieme cloudservice te gebruiken als secundair C2-kanaal in de vorm van een dead drop-resolver.”
Genians zeiden dat de activiteit “meerdere overeenkomsten” vertoont met eerdere op Python gebaseerde aanvallen georkestreerd door ScarCruft, waaronder een spear-phishing-campagne die gebruik maakte van ticketbevestiging en uitnodigingen voor evenementen om potentiële doelwitten te misleiden om ZIP-archieven met LNK-bestanden te openen.
De aanvalsketen verloopt op een vergelijkbare manier doordat het LNK-bestand fungeert als kanaal voor een versluierd batchscript dat is gedownload van een externe C2-server, dat vervolgens het binaire Python-bestand en een CAT-bestand downloadt, wat uiteindelijk resulteert in de inzet van een gecompileerd Python-script dat in staat is opdrachten op afstand uit te voeren en de resultaten terug te sturen naar de C2-server.
Interessant genoeg volgen de geplande taaknamen die worden gebruikt om persistentie in te stellen een vergelijkbare naamgevingsconventie. Terwijl de NarwhalRAT-infectie een geplande taak creëert met de naam “MicrosoftUserInterfacePicturesUpdateTackMachine”, gebruikt de tweede keten de naam “MicrosoftMusicLibrariesPackageTaskMachine.”
“Over het algemeen wordt NarwhalRAT beoordeeld als een geavanceerde RAT-malware die een op Python gebaseerde meertrapslader, een in-memory uitvoeringsstructuur, een multi-C2 operationeel raamwerk en functies voor selectieve informatieverzameling integreert”, aldus Genians.
