СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Новости
Артем
16 июня
#ИБ

Хакеры рассылают пользователям фейковые уведомления безопасности от Microsoft

Хакеры рассылают пользователям фейковые уведомления безопасности от Microsoft

изображение: grok

Хакеры запустили рассылку, маскирующаяся под официальные уведомления безопасности от Microsoft, и через эти письма распространяют троян удалённого доступа NarwhalRAT. За кампанией стоит северокорейская группировка ScarCruft, также фигурирующая в отчётах под обозначением APT37.

Жертве приходит сообщение, оформленное в стиле фирменных писем корпорации. Текст пугает получателя якобы зафиксированными попытками генерации одноразовых паролей и намекает на компрометацию аккаунта. Пользователю предлагает открыть вложение и срочно разобраться с угрозой.

Вместо ожидаемого документа жертва получает ZIP-архив со скрытым внутри ярлыком Windows формата LNK. Запуск этого ярлыка активирует многоступенчатую цепочку, конечной целью которой становится развёртывание трояна на машине.

Технический разбор атаки выявил несколько этапов работы вредоноса:

  • ярлык LNK активирует скрытые скрипты загрузки;
  • с удалённых узлов подтягиваются вспомогательные модули;
  • собирается рабочая сборка зловреда на машине жертвы;
  • закрепление достигается через создание запланированной задачи Windows;
  • основная нагрузка разворачивается прямо в оперативной памяти.

Стоит обратить внимание, что выполнение кода в памяти заметно усложняет работу классических антивирусов, которые ориентированы на сканирование файлов на диске.

NarwhalRAT написан на Python и предоставляет операторам полный контроль над заражённой машиной. Функциональность зловреда напоминает арсенал коммерческих шпионских платформ, что говорит о серьёзной подготовке разработчиков.

Среди возможностей трояна выделяются следующие функции:

  • перехват нажатий клавиш на клавиатуре;
  • скрытое снятие скриншотов рабочего стола;
  • запись звука с микрофона устройства;
  • сбор сведений об активных окнах и процессах;
  • считывание содержимого подключаемых USB-носителей;
  • выполнение произвольных команд от операторов;
  • выгрузка файлов с заражённой машины;
  • отправка собранных материалов на управляющий сервер.

Название зловреда возникло из-за пути, по которому программа складывает украденные данные. Каталог «%APPDATA%naverwhale» подделан под папку южнокорейского браузера Naver Whale, что помогает прятать активность среди легитимного содержимого профиля пользователя.

Интересно, что выбор именно корейского браузера для маскировки косвенно подтверждает географию целей кампании и подгонку инструмента под местную аудиторию.

Управление трояном идёт по нескольким каналам сразу. Для связи операторы задействуют взломанные сайты с легитимной репутацией, а также облачные платформы. В частности, исследователи нашли модули, работающие через сервис pCloud, который выступает резервным каналом для передачи команд и слива добытых файлов.

Опора на популярные облака даёт атакующим сразу два преимущества:

  • трафик зловреда сливается с обычным пользовательским потоком;
  • блокировка инфраструктуры на уровне корпоративного периметра становится сложнее;
  • репутация облачных доменов мешает срабатыванию защитных списков;
  • логи сетевых событий выглядят рутинно для дежурных аналитиков;
  • ответные меры со стороны провайдера занимают заметно больше времени.

NarwhalRAT заметно отличается от прошлого фирменного инструмента ScarCruft под названием RokRAT. Новый зловред получил более продуманную архитектуру, объединяет несколько загрузчиков, исполнение кода в памяти, разветвлённую систему управления и выборочный сбор данных под конкретную цель.

Аналитики обращают внимание на названия запланированных задач, через которые троян закрепляется в системе. Среди обнаруженных вариантов встречаются MicrosoftUserInterfacePicturesUpdateTackMachine и MicrosoftMusicLibrariesPackageTaskMachine. Подобные строки внешне напоминают служебные процессы операционной системы и не вызывают вопросов у рядового пользователя при беглом просмотре планировщика.

По оценке исследователей, NarwhalRAT является полноценным корпоративным трояном удалённого доступа. Его задача состоит в длительном скрытом присутствии на машине жертвы, постепенном сборе нужной операторам информации и удалённом администрировании заражённых устройств.

Ранее мы писали о том, что в мае 2026 года злоумышленники похитили секреты GitHub Actions Microsoft и получили доступ к внутренним механизмам разработки компании. Именно эти учётные данные, как сообщается, были использованы в новой атаке, в результате которой вредоносный код был размещён в 73 репозиториях Microsoft на GitHub, а также затронул инфраструктуру Azure и ещё несколько крупных организаций внутри платформы.

Эксперты редакции CISOCLUB напоминают, что подобные кампании рассчитаны прежде всего на пользователей корпоративного сектора. Письмо с темой про подозрительный вход выбивает человека из рабочего ритма и подталкивает к необдуманным действиям. Внешний вид сообщения от Microsoft нужно проверять по двум-трём независимым признакам, а не только по логотипу и шрифтам. Любые вложения с расширением LNK внутри архивов должны автоматически блокироваться почтовым шлюзом, без права открытия конечным сотрудником. Поведенческий мониторинг процессов и контроль создаваемых запланированных задач остаются рабочим способом поймать NarwhalRAT уже после проникновения. Регулярные тренировки команд по реагированию на фишинг под бренды крупных вендоров заметно снижают вероятность успешной атаки в реальной обстановке.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: