Para peretas Korea Utara kembali melancarkan aksinya dengan modus baru. Kali ini, mereka menggunakan email palsu yang menyamar sebagai peringatan keamanan akun Microsoft untuk menyebarkan malware jenis RAT bernama NarwhalRAT.
Baca Juga: DOJ Sita CFAKE & SOCFAKE, Situs Deepfake Nude di Bawah UU TAKE IT DOWN
Dilansir dari The Hacker News, kelompok peretas yang dikenal dengan nama ScarCruft (APT37) berada di balik serangan ini. Mereka mengirimkan email spear-phishing yang dirancang untuk menimbulkan kekhawatiran tentang kemungkinan pembobolan akun dan penyalahgunaan OTP, sehingga mendorong korban untuk membuka lampiran.
Padahal, lampiran tersebut bukanlah dokumen HWP (Hangul Word Processor) seperti yang disebutkan dalam email, melainkan arsip ZIP yang berisi file LNK berbahaya.
Baca Juga: Pentingnya Kerangka Kerja Keamanan untuk Aplikasi AI, Kata Joshua Goldfarb
“Email serangan tersebut berisi pesan yang menyamar sebagai peringatan keamanan akun Microsoft. Pesan ini dirancang untuk menimbulkan kekhawatiran tentang kemungkinan pembobolan akun dan penyalahgunaan OTP, sehingga mendorong penerima untuk menjalankan lampiran. Isi email menginstruksikan penerima untuk merujuk pada lampiran yang disertakan. Namun, lampiran sebenarnya bukanlah dokumen HWP (Hangul Word Processor), melainkan arsip ZIP yang berisi file LNK berbahaya,” ujar Genians Security Center.
Setelah korban membuka file LNK tersebut, rantai infeksi multi-tahap pun dimulai. Skrip batch perantara akan diunduh dan dijalankan untuk menginstal NarwhalRAT.
Selain itu, skrip ini juga mengambil executable Python yang sah dari situs resmi serta file katalog keamanan Windows (CAT).
Untuk mempertahankan akses, malware membuat tugas terjadwal yang meluncurkan file CAT. File ini kemudian mengambil dan mengeksekusi payload utama di memori tanpa meninggalkan artefak di disk, sehingga sulit terdeteksi oleh perangkat keamanan konvensional.
NarwhalRAT sendiri adalah malware berbasis Python dengan kemampuan mencuri data yang cukup lengkap. Malware ini dapat mencatat penekanan tombol, mengambil tangkapan layar (termasuk resolusi tinggi), merekam audio sekitar, mengunggah isi direktori, mengumpulkan detail jendela aktif, mencuri data dari media USB, serta menjalankan instruksi dari server C2 dan beralih server C2 jika diperlukan.
Nama NarwhalRAT diambil dari penggunaan folder ‘%APPDATA%\naverwhale’ untuk menyimpan data curian, menyamar sebagai peramban Naver Whale milik Naver Corporation. Hal ini juga menandai perubahan dari malware sebelumnya, RokRAT, yang biasa digunakan oleh grup ini.
Dari sisi infrastruktur, malware ini menggunakan situs web Korea seperti daehoat[. ]com dan novel21[.
]co.kr sebagai relay komunikasi utama. Menariknya, NarwhalRAT juga memanfaatkan API penyimpanan cloud pCloud sebagai saluran C2 sekunder dalam bentuk dead drop resolver.
“Dari perspektif infrastruktur C2, malware tersebut menggunakan situs web Korea, termasuk ‘daehoat[.]com’ dan ‘novel21[.]co.kr,’ sebagai relai komunikasi utama, sambil juga menerapkan fungsionalitas komunikasi berbasis API penyimpanan cloud pCloud. Secara khusus, rutinitas spesifik pCloud yang memproses parameter ‘folderid’ dan ‘auth’ diidentifikasi dalam kode. Ini menunjukkan bahwa malware dirancang untuk menggunakan layanan cloud yang sah sebagai saluran C2 sekunder dalam bentuk dead drop resolver,” jelas Genians Security Center.
Serangan ini memiliki banyak kesamaan dengan kampanye spear-phishing sebelumnya yang dilakukan oleh ScarCruft, termasuk penggunaan iming-iming konfirmasi tiket dan undangan acara. Rantai serangan yang memanfaatkan file LNK untuk mengunduh skrip batch dari server C2 jarak jauh juga serupa, begitu pula dengan penamaan tugas terjadwal yang mengikuti konvensi seperti ‘MicrosoftUserInterfacePicturesUpdateTackMachine’ pada infeksi NarwhalRAT.
Baca Juga: Novo Nordisk Konfirmasi Pencurian Data Uji Klinis, Pelaku Misterius
Secara keseluruhan, Genians Security Center menilai bahwa “NarwhalRAT adalah malware RAT canggih yang mengintegrasikan pemuat multi-tahap berbasis Python, struktur eksekusi dalam memori, kerangka operasional multi-C2, dan fungsi pengumpulan informasi selektif.”
Leave a Comment