Thought Leadership
Die Hackergruppe ScarCruft nutzt gefälschte Microsoft-Sicherheitsalarme, um die neue, im Arbeitsspeicher agierende Schadsoftware NarwhalRAT zu verbreiten.
Die dem nordkoreanischen Staat zugerechnete Bedrohungsgruppe ScarCruft, auch bekannt als APT37, nutzt eine neue Spear-Phishing-Kampagne. Dabei geben sich die Angreifer als Sicherheitsbenachrichtigungen für Microsoft-Konten aus, um eine neuartige Schadsoftware namens NarwhalRAT zu verbreiten. Das Genians Security Center dokumentierte die Funktionsweise dieser Angriffe. Das primäre Ziel der gefälschten E-Mails besteht darin, beim Empfänger eine künstliche Dringlichkeit zu erzeugen. Die Nachrichten warnen vor abnormalen Aktivitäten im Zusammenhang mit der wiederholten Generierung von Einmal-Passwörtern (OTP) und fordern das Opfer auf, das Passwort zu ändern.
„Die Angriffs-E-Mail enthielt eine Nachricht, die einen MS-Konto-Sicherheitsalarm vortäuschte. Sie war darauf ausgelegt, Besorgnis über eine mögliche Kompromittierung des Kontos und den Missbrauch von OTPs zu erzeugen und so den Empfänger dazu zu bringen, den Anhang auszuführen. Der E-Mail-Text wies den Empfänger an, sich auf die beigefügte Mitteilung zu beziehen. Der tatsächliche Anhang war jedoch kein HWP-Dokument, sondern ein ZIP-Archiv, das eine bösartige LNK-Datei enthielt.“
Genians Security Center
Mehrstufige Infektion und Ausführung im Arbeitsspeicher
Sobald ein Benutzer die schädliche LNK-Datei ausführt, startet eine mehrstufige Infektionskette. Das System lädt über zwischengeschaltete Batch-Skripte die reguläre Python-Ausführungsdatei direkt von der offiziellen Website sowie eine Windows-Sicherheitskatalog-Datei (CAT) herunter. Um eine dauerhafte Präsenz auf dem infizierten Computersystem zu etablieren, richten die Angreifer eine geplante Aufgabe ein. Diese ist unter der Bezeichnung MicrosoftUserInterfacePicturesUpdateTackMachine registriert.
Diese Aufgabe startet die heruntergeladene CAT-Datei, welche anschließend die eigentliche Schadsoftware direkt in den Arbeitsspeicher des Systems lädt und dort ausführt. Durch diese Struktur verbleiben keine verdächtigen Spuren oder Dateien auf der Festplatte des Computers, was die Erkennung durch herkömmliche Sicherheitssoftware erschwert. Der Name NarwhalRAT leitet sich von dem Ablageverzeichnis ab, welches die Software zur Zwischenspeicherung der gestohlenen Daten nutzt. Es handelt sich um den Pfad naverwhale im AppData-Verzeichnis. Dieser Name wurde gewählt, um als legitimer Webbrowser Naver Whale des südkoreanischen Unternehmens Naver Corporation zu erscheinen. Die Nutzung von NarwhalRAT stellt eine Abkehr von der Schadsoftware RokRAT dar, die bisher exklusiv dieser Gruppe zugeordnet wurde.
Umfangreiche Funktionen zur Spionage und Datenübertragung
Die auf Python basierende Schadsoftware verfügt über eine Vielzahl von Spionagefunktionen. Hierzu gehören das Protokollieren von Tastaturanschlägen, das Erstellen hochauflösender Screenshots, die Aufzeichnung von Umgebungsgeräuschen über das Mikrofon sowie das Auslesen von Daten aus angeschlossenen USB-Medien. Zudem erfasst das Programm Informationen über aktive Fenster und den Inhalt von Systemverzeichnissen.
Für die Kommunikation mit den Steuerungsservern nutzen die Angreifer eine Kombination aus kompromittierten Webseiten und Cloud-Diensten. Die südkoreanische Sicherheitsfirma erläuterte die Infrastruktur: „Aus Sicht der C2-Infrastruktur nutzt die Schadsoftware koreanische Websites, einschließlich daehoat.com und novel21.co.kr, als primäre Kommunikationsrelais, während sie gleichzeitig eine auf der pCloud-Cloud-Speicher-API basierende Kommunikationsfunktionalität implementiert. Insbesondere wurden im Code pCloud-spezifische Routinen identifiziert, die die Parameter folderid und auth verarbeiten. Dies deutet darauf hin, dass die Schadsoftware darauf ausgelegt war, einen legitimen Cloud-Dienst als sekundären C2-Kanal in Form eines Dead-Drop-Resolvers zu nutzen.“
Abschließend hielt das Analysezentrum fest: „Insgesamt wird NarwhalRAT als eine fortschrittliche RAT-Schadsoftware eingestuft, die einen Python-basierten mehrstufigen Loader, eine In-Memory-Ausführungsstruktur, ein Multi-C2-Betriebs-Framework und selektive Informationserfassungsfunktionen integriert,“
