APT37 использует NarwhalRAT для скрытных атак в Южной Корее

APT37, также идентифицируемый как кампания NarwhalRAT, применяет сложный многоэтапный подход к проникновению и закреплению в инфраструктуре жертв. Основная цель атак — пользователи в South Korea, а сама цепочка заражения строится вокруг целевого phishing-письма, маскирующегося под предупреждение безопасности от команды Microsoft Account.

Начало атаки: social engineering и вредоносный LNK

Атака стартует с сообщения, которое убеждает получателя загрузить ZIP-архив с вложенным LNK-file. Эксплуатация тревоги пользователей по поводу безопасности учетной записи повышает вероятность запуска вредоносного файла и открывает путь к установке malware.

После запуска начальный payload выполняет серию команд PowerShell и Batch, которые приводят к установке NarwhalRAT. По данным отчета, вредоносное ПО основано на compiled Python-скрипте, что усложняет анализ его внутренней логики.

Возможности NarwhalRAT

После закрепления в системе NarwhalRAT демонстрирует расширенный функционал, позволяющий злоумышленникам получить практически полный удаленный контроль над зараженным устройством.

• регистрация нажатий клавиш;
• захват экрана;
• сбор данных с USB-devices;
• выполнение удаленных команд.

Скрытность и управление: dual C2 и dead-drop resolver

Вредоносное ПО использует dual C2-механизм, при котором основная связь ведется через South Korean websites, а для сокрытия инфраструктуры применяется pCloud API и схема dead-drop resolver. Такой подход маскирует трафик и скрывает адреса servers управления, существенно затрудняя обнаружение и блокировку.

Расследование показывает, что NarwhalRAT способен динамически переключать каналы C2, повышая устойчивость к вмешательству со стороны защитных механизмов.

Обфускация, Windows-инструменты и закрепление

Отдельное внимание в отчете уделяется методам скрытности. NarwhalRAT использует сложный execution flow, включая загрузку необходимых компонентов Python из legitimate sources, чтобы замаскировать активность. Для скрытой загрузки он также применяет легитимные средства Windows, включая curl.exe.

Дополнительную маскировку обеспечивают:

• динамическое изменение команд выполнения;
• использование временных хранилищ;
• рабочая директория «naverwhale», имитирующая обычные южнокорейские приложения.

Закрепление в системе достигается через Windows Task Scheduler: злоумышленники регистрируют задачи, обеспечивающие повторный запуск payload после перезагрузки. Помимо этого, malware создает encrypted configuration files для хранения адресов command servers и флагов включения функций, что повышает его устойчивость к сбоям и анализу.

Техники уклонения и отличие от RokRAT

Отчет подчеркивает, что техники уклонения NarwhalRAT заметно превосходят подходы, наблюдавшиеся у более ранних угроз, таких как RokRAT. В частности, внедрение execution in memory позволяет обходить традиционные методы файлового детектирования.

Использование модуля ctypes языка Python дает возможность выполнять прямые вызовы Windows API без значительных следов в file system. Кроме того, обширный набор command prefixes расширяет спектр удаленных действий, доступных злоумышленникам, а encrypted channels связи осложняют анализ трафика и выявление инфраструктуры.

Вывод

NarwhalRAT представляет собой сложный и адаптивный threat framework, сочетающий social engineering, использование повседневных инструментов, обфускацию и устойчивую C2-инфраструктуру. Такая комбинация отражает общую тенденцию современных advanced persistent threats, ориентированных не только на проникновение, но и на эффективную exfiltration данных.

Организациям рекомендуется усиливать защиту не только на уровне static IOC, но и с учетом поведенческих признаков атак, способных использовать многообразные векторы проникновения и сокрытия.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.