Зловреден софтуер RokRAT
Севернокорейската хакерска група APT37 (известна още като ScarCruft) е свързана със сложна, многоетапна киберкампания, използваща социално инженерство чрез Facebook. Нападателите инициират контакт, като изпращат заявки за приятелство, като постепенно изграждат доверие, преди да трансформират взаимодействието в канал за доставка на зловреден софтуер. Тази пресметната манипулация в крайна сметка позволява внедряването на троянския кон за отдалечен достъп RokRAT.
Съдържание
Оръжие по избор: Еволюцията на RokRAT
RokRAT остава основният зловреден софтуер, използван от групата, и се е развил значително с течение на времето, с адаптации за платформи като macOS и Android. Неговото непрекъснато развитие подчертава устойчивите оперативни инвестиции.
Зловредният софтуер е способен да изпълнява широк спектър от злонамерени дейности, включително:
- Събиране на идентификационни данни и извличане на чувствителни данни
- Заснемане на екранна снимка и системно разузнаване
- Изпълнение на команди и шелкод
- Манипулиране на файлове и директории
За да прикрият операциите си, по-ранните варианти са съхранявали откраднати данни във файлови формати MP3. Освен това, RokRAT прикрива комуникациите си за командване и контрол (C2), като маршрутизира данните през легитимни облачни платформи като Dropbox, Microsoft OneDrive, pCloud и Yandex Cloud.
Доверието като вектор на атака: Манипулация в социалните медии
Кампанията започва със създаването на измамнически профили във Facebook, за които се твърди, че са базирани в Пхенян и Пхенсон. Тези акаунти се използват за идентифициране и оценка на потенциални жертви. След установяване на връзка, разговорите се пренасочват към Messenger, където се въвеждат внимателно подбрани теми, за да се задълбочи доверието и ангажираността.
Критична тактика, използвана под претекст, е убеждаването на целите да инсталират специализиран PDF прегледник под фалшивата предпоставка, че е необходим за достъп до криптирани военни документи. Предоставеното приложение е модифицирана версия на Wondershare PDFelement, в която е вграден злонамерен шелкод. След изпълнението си, този инсталатор инициира компрометирането, като предоставя на нападателите първоначален достъп до системата.
Многопластова измама: Усъвършенствани техники за доставка и избягване
Веригата от атаки демонстрира висока степен на сложност чрез комбинацията от множество стратегии за избягване:
- Използване на троянски легитимен софтуер за заобикаляне на подозренията
- Експлоатация на компрометирана, но надеждна уеб инфраструктура за C2 операции
- Прикриване на злонамерени полезни товари като безобидни файлове, като например JPG изображения
Забележително е, че нападателите са използвали компрометиран уебсайт, свързан с клон на японска агенция за недвижими имоти в Сеул, за да разпространяват команди и полезни товари. Полезният товар от втория етап се появява като безобиден файл с изображение, прикривайки окончателното внедряване на RokRAT.
Многоетапно изпълнение: от социален контакт до пълен компромис
Атаката преминава през няколко координирани етапа. На 10 ноември 2025 г. злонамерените лица създадоха акаунти във Facebook с имена „richardmichael0828“ и „johnsonsophia0414“. След установяване на връзка комуникацията се пренасочва към Telegram, където жертвите получават ZIP архив, съдържащ злонамерен PDF файл, документи-примамки и инструкции за инсталиране.
Изпълнението на компрометирания инсталатор задейства криптиран шелкод, който се свързва с C2 домейн и извлича вторичен полезен товар, маскиран като JPG файл с изображение. Този файл в крайна сметка доставя пълния софтуер RokRAT.
Облачно базирано командване и контрол: Сливане с легитимен трафик
RokRAT допълнително подобрява своята скритост, като злоупотребява със Zoho WorkDrive като част от своята C2 инфраструктура, метод, наблюдаван и в кампанията „Ruby Jumper“, идентифицирана в началото на 2026 г. Чрез този подход зловредният софтуер изпълнява функции като заснемане на екранни снимки, дистанционно изпълнение на команди чрез системни обвивки, събиране на данни за хоста и заобикаляне на сигурността.
Стратегически фокус: Стабилност във функционирането, иновации в предоставянето на услуги
Въпреки че основните възможности на RokRAT са останали до голяма степен последователни в различните операции, механизмите му за доставка и тактиките за избягване продължават да се развиват. Този стратегически акцент демонстрира целенасочен фокус върху подобряването на векторите на инфекция и техниките за стелт, а не върху промяната на основната функционалност на зловредния софтуер.
