Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Nowa kampania spear-phishingowa przypisywana grupie APT37, znanej również jako ScarCruft, wykorzystuje fałszywe alerty bezpieczeństwa konta Microsoft do dostarczania złośliwego oprogramowania NarwhalRAT. Mechanizm ataku opiera się na socjotechnice: odbiorca wiadomości ma uwierzyć, że na jego koncie wykryto podejrzaną aktywność oraz nadużycie kodów jednorazowych, co ma skłonić go do otwarcia załącznika.
W praktyce załączony plik nie prowadzi do procedury ochrony konta, lecz uruchamia wieloetapowy łańcuch infekcji. To kolejny przykład kampanii, w której pozornie wiarygodny komunikat bezpieczeństwa staje się nośnikiem zaawansowanego malware szpiegowskiego.
W skrócie
NarwhalRAT to zdalny trojan dostępu oparty na Pythonie, wdrażany po uruchomieniu złośliwego pliku LNK ukrytego w archiwum ZIP. Kampania wykorzystuje presję psychologiczną i podszywa się pod komunikaty Microsoft, aby zwiększyć skuteczność phishingu.
- wejściem do ataku jest e-mail z rzekomym alertem bezpieczeństwa,
- łańcuch infekcji rozpoczyna się od pliku LNK w archiwum ZIP,
- malware wykorzystuje legalne komponenty, w tym interpreter Python,
- NarwhalRAT umożliwia keylogging, zrzuty ekranu, nagrywanie dźwięku i zdalne wykonywanie poleceń,
- operatorzy stosują persistence przez zadania harmonogramu i wykorzystują usługi chmurowe jako kanały komunikacji.
Kontekst / historia
APT37 od lat jest kojarzona z operacjami cyberszpiegowskimi ukierunkowanymi głównie na cele w Korei Południowej oraz podmioty o znaczeniu strategicznym, politycznym i wojskowym. Grupa była wcześniej łączona między innymi z rodziną malware RokRAT, a obecna kampania sugeruje dalszą rozbudowę zestawu narzędzi operacyjnych.
Badacze wskazują, że nowa operacja wpisuje się w znany model działania ScarCruft. Wspólne cechy obejmują użycie archiwów ZIP, skrótów LNK, pośrednich skryptów wsadowych oraz mechanizmów persistence opartych na zadaniach harmonogramu, których nazwy mają przypominać legalne komponenty systemowe.
Analiza techniczna
Początek infekcji stanowi wiadomość e-mail podszywająca się pod alert bezpieczeństwa Microsoft. Jej treść sugeruje anomalię związaną z generowaniem kodów OTP i zachęca do sprawdzenia załącznika. W rzeczywistości użytkownik otrzymuje archiwum ZIP zawierające złośliwy plik LNK.
Po uruchomieniu skrótu ofiara inicjuje wieloetapowy łańcuch wykonania. LNK uruchamia pośrednie skrypty wsadowe, które pobierają kolejne elementy zestawu narzędzi. Następnie dostarczany jest legalny interpreter Python, dodatkowy plik CAT oraz główny payload wykonywany w pamięci. Taki model ogranicza liczbę śladów na dysku i utrudnia analizę powłamaniową.
Istotną rolę odgrywa persistence realizowane przez zadanie harmonogramu systemowego. Zadanie uruchamia wskazany plik CAT, odpowiedzialny za pobranie i wykonanie właściwego ładunku w pamięci. Nazwy zadań dobrano tak, aby przypominały wewnętrzne komponenty Microsoft i nie wzbudzały podejrzeń.
Sam NarwhalRAT został napisany w Pythonie i zapewnia szerokie możliwości szpiegowskie. Z dostępnych analiz wynika, że malware potrafi:
- rejestrować naciśnięcia klawiszy,
- wykonywać zrzuty ekranu, także w wysokiej rozdzielczości,
- nagrywać dźwięk z otoczenia,
- zbierać zawartość katalogów i informacje o aktywnych oknach,
- pozyskiwać dane z nośników USB,
- zdalnie wykonywać polecenia,
- zmieniać serwery C2.
Nazwa NarwhalRAT pochodzi od katalogu roboczego wykorzystywanego do przechowywania zebranych danych w ścieżce %APPDATA%\naverwhale. To przykład prostego maskowania poprzez użycie nazwy kojarzonej z legalnym oprogramowaniem. W warstwie komunikacyjnej malware korzysta zarówno z witryn pełniących funkcję przekaźników, jak i z legalnej usługi chmurowej pCloud. Taki model może pełnić rolę zapasowego kanału sterowania w schemacie dead drop resolver.
Konsekwencje / ryzyko
Kampania stanowi poważne zagrożenie dla organizacji narażonych na ukierunkowany phishing. Po skutecznej infekcji atakujący uzyskują trwały dostęp do stacji roboczej, co umożliwia długoterminowy monitoring aktywności użytkownika oraz kradzież danych operacyjnych.
Na szczególną uwagę zasługują trzy aspekty. Po pierwsze, socjotechnika bazująca na strachu przed przejęciem konta zwiększa szansę, że ofiara otworzy załącznik. Po drugie, wykorzystanie legalnego interpretera Python i uruchamianie payloadu w pamięci obniżają skuteczność prostych metod detekcji opartych na sygnaturach. Po trzecie, komunikacja z użyciem usług chmurowych utrudnia blokowanie ruchu bez ryzyka zakłócenia legalnych procesów biznesowych.
Z perspektywy obrony NarwhalRAT należy traktować jako narzędzie cyberszpiegowskie o wysokiej dojrzałości operacyjnej. Zdolność do przechwytywania audio, danych z USB i aktywności użytkownika wskazuje, że celem może być zarówno kradzież informacji, jak i długotrwała, dyskretna obserwacja wybranych osób.
Rekomendacje
Organizacje powinny połączyć działania prewencyjne, detekcyjne i edukacyjne. Szczególnie ważne jest monitorowanie nietypowych łańcuchów wykonania oraz ograniczanie możliwości uruchamiania skrótów i skryptów pochodzących z poczty elektronicznej.
- blokować lub ściśle ograniczać uruchamianie plików LNK pochodzących z archiwów pobranych z e-maili,
- filtrować wiadomości podszywające się pod alerty bezpieczeństwa kont,
- monitorować tworzenie zadań harmonogramu o nazwach imitujących komponenty systemowe,
- wykrywać nietypowe pobieranie i uruchamianie interpretera Python na stacjach, gdzie nie jest on standardowo używany,
- analizować procesy potomne uruchamiane przez explorer.exe, cmd.exe i skrypty wsadowe po otwarciu załączników,
- wdrożyć EDR ukierunkowany na wykrywanie wykonania w pamięci, persistence przez scheduled tasks oraz sekwencji LNK → BAT → Python,
- kontrolować ruch do usług chmurowych wykorzystywanych potencjalnie jako kanały C2,
- szkolić użytkowników, by nie ufali alarmującym komunikatom bez niezależnej weryfikacji w oficjalnym panelu usługi,
- ograniczać uprawnienia lokalne i segmentować dostęp do danych wrażliwych,
- korelować logi z poczty, endpointów i harmonogramu zadań w systemach SIEM.
W razie podejrzenia kompromitacji należy natychmiast odizolować host, przeanalizować zadania harmonogramu, sprawdzić artefakty w katalogu AppData, zweryfikować uruchomienia interpretera Python oraz zresetować poświadczenia użytkownika, który otworzył załącznik.
Podsumowanie
Kampania z użyciem NarwhalRAT pokazuje, że klasyczny spear-phishing nadal pozostaje skutecznym wektorem wejścia, zwłaszcza gdy wiadomość odwołuje się do obaw związanych z bezpieczeństwem konta. Połączenie socjotechniki, wieloetapowego loadera, persistence przez harmonogram zadań i komunikacji z użyciem legalnych usług sprawia, że zagrożenie powinno znaleźć się wysoko na liście priorytetów zespołów SOC oraz administratorów endpointów.
Dla obrońców kluczowe będzie wykrywanie zależności między niepozornym plikiem LNK, aktywnością skryptową i późniejszym uruchomieniem payloadu wyłącznie w pamięci. To właśnie analiza całego łańcucha ataku, a nie pojedynczego artefaktu, może zadecydować o szybkim wykryciu incydentu.
Źródła
- https://thehackernews.com/2026/06/fake-microsoft-alerts-used-to-deploy.html
- https://www.genians.co.kr
- https://attack.mitre.org/