An ninh mạng

Cảnh báo: Nhóm tin tặc Triều Tiên APT37 phát tán mã độc NarwhalRAT qua thông báo giả mạo Microsoft

Nhóm tin tặc ScarCruft (APT37) đang thực hiện các chiến dịch spear-phishing tinh vi, giả mạo cảnh báo bảo mật từ Microsoft để lây nhiễm mã độc NarwhalRAT vào máy tính nạn...

Nguyen Hung
16 Tháng 6, 2026 2 Min Read
2 0

Nhóm tin tặc được nhà nước bảo trợ từ Triều Tiên, ScarCruft (còn gọi là APT37), vừa bị phát hiện đang triển khai một chiến dịch tấn công mới sử dụng các email phishing giả mạo thông báo bảo mật từ Microsoft. Mục tiêu của chiến dịch này là phát tán một loại mã độc mới có tên gọi NarwhalRAT.

Theo báo cáo từ Genians Security Center (GSC), các email tấn công được thiết kế để tạo cảm giác khẩn cấp, đánh lừa người dùng rằng tài khoản Microsoft của họ đang gặp sự cố về bảo mật hoặc bị lạm dụng mã OTP. Người dùng được yêu cầu mở tệp đính kèm để xem hướng dẫn xử lý. Tuy nhiên, thay vì một tài liệu văn phòng thông thường, tệp đính kèm lại là một tệp lưu trữ ZIP chứa tệp LNK độc hại.

Khi tệp LNK được kích hoạt, nó sẽ khởi chạy một chuỗi lây nhiễm đa giai đoạn. Mã độc sử dụng các tập lệnh batch trung gian để tải xuống NarwhalRAT, cùng với trình thông dịch Python hợp lệ và một tệp catalog bảo mật Windows (CAT). Để duy trì sự hiện diện trên hệ thống, kẻ tấn công thiết lập các tác vụ định kỳ (scheduled task), cho phép thực thi payload chính trực tiếp trong bộ nhớ mà không để lại dấu vết trên ổ cứng.

NarwhalRAT là một mã độc dựa trên Python với khả năng thu thập thông tin mạnh mẽ, bao gồm: ghi lại thao tác bàn phím (keylogging), chụp ảnh màn hình độ phân giải cao, ghi âm môi trường xung quanh, đánh cắp dữ liệu từ USB và các thư mục trên máy tính. Tên gọi “NarwhalRAT” xuất phát từ việc mã độc sử dụng thư mục ẩn %APPDATA%\naverwhale để lưu trữ dữ liệu đánh cắp, nhằm ngụy trang dưới danh nghĩa trình duyệt Naver Whale của Hàn Quốc.

Đáng chú ý, NarwhalRAT sử dụng các trang web Hàn Quốc làm trạm trung chuyển lệnh (C2 relay) và tận dụng API của dịch vụ lưu trữ đám mây pCloud như một kênh điều khiển phụ (dead drop resolver). Việc chuyển hướng sang sử dụng NarwhalRAT thay vì dòng mã độc RokRAT quen thuộc cho thấy sự thay đổi trong chiến thuật của APT37.

Các chuyên gia bảo mật khuyến cáo người dùng cần hết sức cảnh giác với các email thông báo bảo mật bất thường, đặc biệt là những email yêu cầu mở tệp đính kèm lạ. Việc kiểm tra kỹ địa chỉ email người gửi và không thực thi các tệp tin từ nguồn không xác định là biện pháp phòng ngừa quan trọng nhất hiện nay.

Nguồn tham khảo: The Hacker News

Share Article

Nguyen Hung

No Comment! Be the first one.

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Related Posts

Our site uses cookies. By using this site, you agree to the Privacy Policy and Terms of Use.

Accept