رصد مركز Genians Security Center حملة جديدة لمجموعة القرصنة الكورية الشمالية ScarCruft (APT37)، حيث استخدمت رسائل تصيّد موجهة تتظاهر بأنها تنبيهات أمنية من حسابات مايكروسوفت. هذه الرسائل زعمت وجود نشاط غير طبيعي يتعلق بتوليد كلمات مرور لمرة واحدة (OTP)، ما يثير القلق لدى المستهدفين ويدفعهم إلى فتح المرفق المرفق. المرفق لم يكن مستند HWP كما يوحي النص، بل ملف ZIP يحتوي على ملف LNK خبيث.
سلسلة العدوى متعددة المراحل
بمجرد تشغيل ملف LNK يبدأ تسلسل عدوى متعدد المراحل:
- تشغيل سكربتات Batch وسيطة لتحميل وتنصيب برمجية NarwhalRAT.
- تنزيل نسخة شرعية من Python من الموقع الرسمي، إضافة إلى ملف أمني (CAT) من ويندوز.
- إنشاء مهمة مجدولة لضمان الاستمرارية، حيث يتم تشغيل ملف CAT لتحميل وتشغيل الحمولة الرئيسية في الذاكرة دون ترك آثار على القرص.
قدرات برمجية NarwhalRAT
البرمجية المكتوبة بلغة Python تتمتع بقدرات متقدمة، منها:
- تسجيل ضغطات لوحة المفاتيح.
- التقاط صور شاشة عالية الدقة.
- تسجيل الصوت المحيط.
- رفع محتويات المجلدات وجمع تفاصيل النوافذ النشطة.
- جمع بيانات من وسائط USB.
- تنفيذ أوامر من خادم التحكم (C2) مع القدرة على تبديل الخوادم.
اسم NarwhalRAT مستمد من استخدامها مجلدًا مخفيًا لتخزين البيانات المسروقة، في محاولة للتخفي خلف اسم متصفح “Naver Whale” الكوري الجنوبي.
البنية التحتية للاتصال
تستخدم البرمجية مواقع كورية كقنوات اتصال رئيسية، إضافة إلى استغلال واجهة pCloud API كقناة ثانوية لنقل البيانات، عبر آلية dead drop resolver التي تعتمد على معلمات .
أوجه التشابه مع حملات سابقة
أشارت Genians إلى أن هذه الحملة تشترك في عدة سمات مع هجمات سابقة لـ APT37، مثل استخدام دعوات مزيفة لحجوزات أو فعاليات، حيث يتم تمرير ملفات ZIP تحتوي على ملفات LNK خبيثة. حتى أسماء المهام المجدولة التي تُنشأ لضمان الاستمرارية اتبعت نمطًا مشابهًا، مثل:
- “MicrosoftUserInterfacePicturesUpdateTackMachine”
- “MicrosoftMusicLibrariesPackageTaskMachine”
تقييم البرمجية
يُقيّم الخبراء NarwhalRAT كأداة تجسس متقدمة، تجمع بين محمّل متعدد المراحل قائم على Python، وتنفيذ داخل الذاكرة، وبنية متعددة لقنوات C2، مع وظائف انتقائية لجمع المعلومات. هذا يمثل تطورًا ملحوظًا عن برمجية RokRAT التي كانت السمة المميزة لمجموعة ScarCruft سابقًا.
