Saxta Microsoft bildirişləri ilə NarwhalRAT yayıldı

Şimali Koreyə bağlı ScarCruft qrupunun yeni kampaniyası, Microsoft Hesabı ilə əlaqəli saxta təhlükəsizlik xəbərdarlıqlarından istifadə edərək NarwhalRAT zərərverici proqramını yayır. Məlumatlara görə, hücumun mərkəzində istifadəçini ZIP arxivini açmağa sövq edən aldadıcı e-poçt zənciri dayanır. Bu yanaşma texniki cəhətdən sadə görünə bilər, amma etibar üzərindən qurulduğu üçün korporativ və fərdi mühitlərdə effektiv ola bilər.

NarwhalRAT Python əsasında qurulmuş arxa qapı kimi təqdim olunur və ona 30-dan çox funksiyanın aid edildiyi bildirilir. Bu da hücumun yalnız ilkin giriş deyil, daha geniş nəzarət və məlumat toplama mərhələsini hədəflədiyini göstərir. Qrupun istifadə etdiyi saxta mesajların Microsoft Hesabı ilə bağlı müvəqqəti şifrə və giriş problemlərini qabartması sosial mühəndislik elementinin əsas rol oynadığını ortaya qoyur.

Mənbədə qeyd olunur ki, bu zərərverici fəaliyyət ScarCruft-un APT37 ilə əlaqələndirilən digər əməliyyatlarında görünən taktika və komponentlərlə üst-üstə düşür. Bu oxşarlıq təhlükənin tək bir kampaniya deyil, daha geniş əməliyyat xəttinin davamı ola biləcəyinə işarə edir. Belə hücumlar hesab təhlükəsizliyini sıradan çıxarmaqla yanaşı, ilkin giriş əldə edilən mühitlərdə əlavə komprometasiya riski yaradır.

Korporativ tərəfdən əsas məsələ istifadəçinin fərdi hesabına girişin iş mühitinə daşınmasıdır. Xüsusilə e-poçt və hesab doğrulama axınları üzərindən qurulan hücumlar, təhlükəsizlik komandalarının yalnız zərərverici fayl deteksiyasına deyil, mesaj məzmunu və istifadəçi davranışına da nəzarət etməsini tələb edir. Mövcud məlumatlar təhdidin daha çox fişinq və arxa qapı kombinasiyası olduğunu göstərir, nəinki məlum zəiflik istismarı.