إنذارات مايكروسوفت المزيفة تنشر برمجية NarwhalRAT الكورية الشمالية

مقدمة تحليلية

تستغل المجموعة الكورية الشمالية التابعة للدولة والمعروفة باسم ScarCruft (أو APT37) إشعارات أمنية مزيفة لحسابات مايكروسوفت لتوزيع برمجية خبيثة متطورة تُدعى NarwhalRAT. كشفت الأبحاث الأمنية الحديثة عن حملة تصيد بالرمح تستهدف الضحايا برسائل بريد إلكتروني مصممة بعناية لخلق شعور زائف بالإلحاح، مدعية وجود 'نشاط غير طبيعي' يتعلق بتوليد كلمات مرور لمرة واحدة (OTP) بشكل متكرر. الهدف الأساسي من هذه العملية هو دفع الضحايا لفتح مرفق ضار، ما يؤدي إلى سلسلة إصابة متعددة المراحل تسمح للمهاجمين بالتحكم الكامل في الأنظمة المخترقة. إن استخدام ScarCruft لهذه التقنيات الجديدة، لا سيما التحول عن برمجية RokRAT المعروفة سابقاً، يؤكد التطور المستمر في تكتيكات المجموعات المدعومة من الدول. تشكل هذه الهجمات خطراً جسيماً على الأفراد والمؤسسات على حد سواء، حيث تستغل الثقة في العلامات التجارية المعروفة مثل مايكروسوفت لاختراق دفاعات الأمن السيبراني. تسلط هذه الحالة الضوء على الأهمية الحيوية للوعي الأمني للمستخدمين وتطبيق آليات كشف متقدمة لمواجهة التهديدات المتطورة التي تتجاوز مجرد البرمجيات الخبيثة التقليدية، لتشمل الهندسة الاجتماعية المعقدة.

التحليل التقني

تبدأ سلسلة الهجوم برسالة بريد إلكتروني للتصيد الاحتيالي تنتحل صفة تنبيه أمني من مايكروسوفت، تطلب من المستلم مراجعة 'نصيحة' في مرفق. بدلاً من مستند قانوني، يحتوي المرفق على أرشيف ZIP يضم ملف LNK ضار. بمجرد تشغيل ملف LNK، تبدأ سلسلة إصابة معقدة تستخدم عدة سكربتات دفعية وسيطة. هذه السكربتات تقوم بما يلي:

• تنزيل وتثبيت NarwhalRAT، وهي برمجية RAT (حصان طروادة للوصول عن بعد) قائمة على Python.
• استرداد برنامج Python التنفيذي الشرعي من موقعه الرسمي، بالإضافة إلى ملف كتالوج أمان Windows (CAT).
• تحقيق الثبات (Persistence) من خلال مهمة مجدولة (scheduled task) يتم تكوينها لتشغيل ملف CAT. يقوم ملف CAT بدوره بجلب وتشغيل الحمولة الرئيسية في الذاكرة دون ترك أي آثار على القرص، مما يزيد من صعوبة الكشف.

تتميز NarwhalRAT بكونها برمجية متقدمة ذات قدرات واسعة، مصممة لجمع المعلومات الحساسة والتحكم في الجهاز المخترق. تشمل وظائفها الرئيسية:

• تسجيل ضربات المفاتيح (keylogging) لسرقة بيانات الاعتماد والمعلومات الحساسة.
• التقاط لقطات شاشة (screenshots) عالية الدقة.
• تسجيل الصوت المحيط (ambient audio).
• تحميل محتويات الأدلة (directory contents) من الجهاز المصاب.
• جمع تفاصيل النوافذ النشطة.
• جمع البيانات من وسائط USB.
• تنفيذ الأوامر الصادرة عن خادم القيادة والتحكم (C2).
• القدرة على تبديل خوادم C2.

للتخفي وإعاقة الكشف، تستخدم NarwhalRAT دليلاً مخفياً باسم '%APPDATA%\ averwhale' لتخزين المعلومات التي تم جمعها مؤقتاً. هذا الاسم مصمم لمحاكاة متصفح Naver Whale الذي طورته شركة Naver Corporation الكورية الجنوبية، في محاولة للتهرب من أنظمة الكشف. علاوة على ذلك، تستخدم البرمجية مواقع ويب كورية كمسجلات اتصال أساسية (مثل 'daehoat[.]com' و 'novel21[.]co.kr')، وتطبق أيضاً وظيفة اتصال قائمة على واجهة برمجة تطبيقات (API) لتخزين pCloud السحابي كقناة C2 ثانوية، مستغلة خدمات سحابية شرعية كـ 'محلل نقطة ميتة' (dead drop resolver).

السياق وتأثير السوق

إن استغلال مجموعة ScarCruft (APT37) لإشعارات مايكروسوفت المزيفة ونشر NarwhalRAT يمثل تحولاً تكتيكياً مهماً لهذه المجموعة المعروفة بأنشطتها المدعومة من كوريا الشمالية. تاريخياً، ارتبطت ScarCruft ببرمجيات خبيثة مثل RokRAT، وقد كان هذا الارتباط قوياً لدرجة أن RokRAT أصبحت مرادفاً لهجمات المجموعة. يبرز الانتقال إلى NarwhalRAT قدرة المجموعة على تطوير أو تبني أدوات جديدة لتجنب الكشف المستند إلى التوقيعات القديمة وتكييف تكتيكاتها مع بيئات الأمن المتطورة. تتطابق هذه الحملة مع أنماط هجوم سابقة قامت بها ScarCruft، والتي تضمنت استخدام التصيد الاحتيالي بالرمح مع إغراءات مثل تأكيدات التذاكر ودعوات الأحداث، وتوزيع ملفات ZIP تحتوي على ملفات LNK ضارة. هذا التكرار في الأساليب الأساسية، مع التغيير في الحمولة النهائية، يشير إلى استراتيجية فعالة للمجموعة: الحفاظ على الهندسة الاجتماعية التي أثبتت فعاليتها مع تحديث المكونات التقنية الخلفية. استخدام خدمات C2 القائمة على pCloud أيضاً يعكس اتجاهاً أوسع بين الجهات الفاعلة المدعومة من الدول لاستغلال البنية التحتية السحابية الشرعية للتخفي، مما يزيد من تعقيد جهود تتبعها وحظرها. إن التهديد لا يقتصر على كوريا الجنوبية فقط، بل يمتد عالمياً نظراً لطبيعة الهجمات التي تستهدف حسابات مايكروسوفت. يمكن أن يكون التأثير على السوق كبيراً، حيث تتزايد تكاليف الأمن السيبراني وتتطلب المؤسسات استثماراً أكبر في تدريب الموظفين على الوعي الأمني وأنظمة الكشف والرد المتقدمة. يؤدي استغلال الثغرات في سلاسل التوريد (مثل استخدام Python الشرعي) وفي ثقة المستخدمين (مثل تنبيهات مايكروسوفت) إلى تآكل الثقة ويفرض عبئاً أمنياً إضافياً على الشركات لتأمين بيئاتها الرقمية.

رؤية Glitch4Techs

من منظور Glitch4Techs، تُظهر حملة NarwhalRAT مستوى مقلقاً من التطور في التهديدات السيبرانية المدعومة من الدول. إن القدرة على الجمع بين الهندسة الاجتماعية عالية الجودة مع سلاسل إصابة متعددة المراحل، والتنفيذ في الذاكرة (in-memory execution)، واستخدام خدمات C2 متخفية، يخلق تحدياً كبيراً للدفاعات التقليدية. يكمن الخطر الأكبر في استخدام الثقة المفرطة في رسائل البريد الإلكتروني الواردة التي تبدو شرعية من كيانات مثل مايكروسوفت، والتي يمكن أن تخدع حتى المستخدمين اليقظين. تتطلب مواجهة هذا النوع من التهديدات نهجاً متعدد الطبقات. أولاً، يجب أن يتم تعزيز تدريب الموظفين بشكل مستمر للتعرف على محاولات التصيد الاحتيالي المعقدة، مع التركيز على فحص رؤوس البريد الإلكتروني والتحقق من مصادر الرسائل قبل اتخاذ أي إجراء. ثانياً، يجب على المؤسسات نشر حلول أمنية متقدمة للكشف عن نقاط النهاية والاستجابة لها (EDR) التي يمكنها مراقبة النشاط في الذاكرة واكتشاف السلوكيات الشاذة، وليس فقط التوقيعات المعروفة. ثالثاً، ينبغي تطبيق ضوابط الوصول الصارمة ومبدأ الامتياز الأقل لتقليل الأضرار المحتملة في حالة الاختراق الأولي. نرى أن استخدام ScarCruft لأساليب التخفي مثل تقليد متصفح Naver Whale واستغلال API لـ pCloud، يُبرز الحاجة إلى التركيز على الكشف السلوكي وتحليل الشبكة. يجب على المؤسسات أن تكون حذرة بشكل خاص من أي أنشطة غير مبررة تتضمن تنزيل ملفات تنفيذية شرعية (مثل Python) من مصادر خارجية، أو محاولات لإنشاء مهام مجدولة بأسماء غير قياسية. في المستقبل القريب، نتوقع أن تستمر المجموعات المدعومة من الدول في تبني هذه الأساليب المعقدة، مما يستدعي استثمارات متزايدة في استخبارات التهديدات والدفاعات الاستباقية لتبقى Glitch4Techs وجمهورنا خطوة واحدة على الأقل أمام المهاجمين.