Nhóm hacker được nhà nước Triều Tiên bảo trợ với tên gọi ScarCruft (hay APT37) đã bị phát hiện sử dụng các tin nhắn spear-phishing giả mạo thông báo bảo mật tài khoản Microsoft để phát tán mã độc có tên NarwhalRAT.
"Email tấn công chứa một thông điệp giả mạo cảnh báo bảo mật tài khoản MS," Trung tâm Bảo mật Genians (GSC) cho biết. "Nó được thiết kế để tạo ra sự lo ngại về khả năng tài khoản bị xâm nhập và lạm dụng OTP, từ đó dẫn dụ người nhận thực thi tệp đính kèm."
"Nội dung email hướng dẫn người nhận tham khảo tài liệu hướng dẫn đính kèm. Tuy nhiên, tệp đính kèm thực tế không phải là tài liệu HWP [Hangul Word Processor], mà là một kho lưu trữ ZIP chứa tệp LNK độc hại."
Thông điệp email tuyên bố có "hoạt động bất thường" liên quan đến việc tạo mã OTP lặp đi lặp lại, giả dạng đây là một nỗ lực phishing nhắm vào tài khoản Microsoft của mục tiêu bởi một bên thứ ba, và thúc giục họ thay đổi mật khẩu. Mục tiêu cuối cùng của tin nhắn phishing là tạo ra cảm giác cấp bách giả tạo và đánh lừa nạn nhân tin rằng email đó là một cảnh báo bảo mật hợp lệ.
Tệp LNK, sau khi được khởi chạy, sẽ bắt đầu một chuỗi lây nhiễm nhiều giai đoạn sử dụng các batch scripts trung gian để tải xuống và cài đặt NarwhalRAT, cùng với việc lấy tệp thực thi Python hợp lệ từ trang web chính thức và một tệp Windows security catalog (CAT). Sự hiện diện lâu dài (Persistence) được thiết lập thông qua một scheduled task, được cấu hình để chạy tệp CAT chịu trách nhiệm tìm nạp và thực thi payload chính trong bộ nhớ mà không để lại bất kỳ dấu vết nào trên đĩa cứng.
Khả năng thu thập dữ liệu của NarwhalRAT
Mã độc dựa trên Python này được trang bị các tính năng ghi lại thao tác bàn phím (keystrokes), chụp ảnh màn hình (hỗ trợ hình ảnh độ phân giải cao), ghi âm môi trường xung quanh, tải nội dung thư mục lên, thu thập chi tiết cửa sổ đang hoạt động, thu thập dữ liệu từ các thiết bị USB, thực thi các lệnh được ban hành bởi máy chủ C2 (command-and-control) và chuyển đổi các máy chủ C2.
Cái tên NarwhalRAT ám chỉ việc mã độc này sử dụng thư mục %APPDATA%\naverwhale để lưu trữ thông tin thu thập được trên máy chủ bị xâm nhập. Tên thư mục ẩn này là một nỗ lực nhằm trốn tránh sự phát hiện bằng cách giả mạo Naver Whale, một trình duyệt web được phát triển bởi công ty công nghệ Hàn Quốc Naver Corporation.
Việc APT37 triển khai NarwhalRAT là một điểm đáng chú ý vì nó đánh dấu sự chuyển hướng khỏi RokRAT, một dòng mã độc vốn chỉ được gán riêng cho nhóm hacker này.
"Từ góc độ cơ sở hạ tầng C2, mã độc sử dụng các trang web Hàn Quốc, bao gồm 'daehoat[.]com' và 'novel21[.]co.kr', làm các trạm trung chuyển liên lạc chính, đồng thời triển khai chức năng liên lạc dựa trên API lưu trữ đám mây pCloud," công ty an ninh mạng Hàn Quốc cho biết.
"Đặc biệt, các quy trình cụ thể của pCloud xử lý tham số 'folderid' và 'auth' đã được xác định trong mã nguồn. Điều này chỉ ra rằng mã độc được thiết kế để sử dụng một dịch vụ đám mây hợp lệ làm kênh C2 phụ dưới dạng một dead drop resolver."
Điểm tương đồng với các chiến dịch trước đây của ScarCruft
Genians cho biết hoạt động này chia sẻ "nhiều điểm tương đồng" với các cuộc tấn công dựa trên Python trước đó do ScarCruft thực hiện, bao gồm một chiến dịch spear-phishing đã sử dụng mồi nhử là xác nhận vé và lời mời sự kiện để lừa các mục tiêu mở kho lưu trữ ZIP chứa các tệp LNK.
Chuỗi tấn công diễn ra theo cách tương tự, trong đó tệp LNK đóng vai trò là ống dẫn cho một batch script đã bị làm xáo trộn (obfuscated) được tải xuống từ máy chủ C2 từ xa, sau đó tải xuống tệp nhị phân Python và tệp CAT, cuối cùng dẫn đến việc triển khai một đoạn mã Python đã biên dịch có khả năng thực thi lệnh từ xa và gửi kết quả trở lại máy chủ C2.
Thú vị là, các tên scheduled task được sử dụng để thiết lập sự hiện diện lâu dài tuân theo một quy ước đặt tên tương tự. Trong khi đợt lây nhiễm NarwhalRAT tạo ra một scheduled task có tên "MicrosoftUserInterfacePicturesUpdateTackMachine", thì chuỗi thứ hai sử dụng tên "MicrosoftMusicLibrariesPackageTaskMachine".
"Nhìn chung, NarwhalRAT được đánh giá là một mã độc RAT tiên tiến tích hợp trình tải nhiều giai đoạn dựa trên Python, cấu trúc thực thi trong bộ nhớ, khung vận hành đa C2 và các chức năng thu thập thông tin có chọn lọc," Genians nhận định.