Rabattilbud med flere licenser
Trusseldatabase Bagdøre RokRAT-malware

RokRAT-malware

Med Mezo i Bagdøre, Advanced Persistent Threat (APT)
Oversæt til:

Den nordkoreanske trusselgruppe APT37 (også kendt som ScarCruft) er blevet forbundet med en sofistikeret, flertrinnet cyberkampagne, der udnytter social engineering via Facebook. Angribere initierer kontakt ved at sende venneanmodninger og opbygger gradvist tillid, før de omdanner interaktionen til en malware-leveringskanal. Denne kalkulerede manipulation muliggør i sidste ende implementeringen af fjernadgangstrojaneren RokRAT.

Valgfrit våben: RokRATs udvikling

RokRAT er fortsat den primære malware, der anvendes af gruppen, og har udviklet sig betydeligt over tid med tilpasninger til platforme som macOS og Android. Den fortsatte udvikling understreger vedvarende driftsinvesteringer.

Malwaren er i stand til at udføre et bredt spektrum af ondsindede aktiviteter, herunder:

  • Indsamling af legitimationsoplysninger og udtagning af følsomme data
  • Skærmbilledeoptagelse og systemrekognoscering
  • Udførelse af kommandoer og shellcode
  • Fil- og mappemanipulation

For at skjule sine operationer lagrede tidligere varianter stjålne data i MP3-filformater. Derudover skjuler RokRAT sin kommando-og-kontrol (C2) kommunikation ved at route data gennem legitime cloudplatforme som Dropbox, Microsoft OneDrive, pCloud og Yandex Cloud.

Tillid som angrebsvektor: Manipulation på sociale medier

Kampagnen begynder med oprettelsen af falske Facebook-personaer, angiveligt baseret i Pyongyang og Pyongsong. Disse konti bruges til at identificere og vurdere potentielle ofre. Når en forbindelse er etableret, skifter samtalerne til Messenger, hvor omhyggeligt udvalgte emner introduceres for at uddybe tillid og engagement.

En kritisk taktik, der anvendes, er at pådutte angribere, der overtaler dem til at installere en specialiseret PDF-fremviser under den falske forudsætning, at den er nødvendig for at få adgang til krypterede militærdokumenter. Den leverede applikation er en modificeret version af Wondershare PDFelement, indlejret med ondsindet shellcode. Ved udførelse starter dette installationsprogram kompromitteringen ved at give angriberne initial systemadgang.

Lagdelt bedrag: Avancerede leverings- og undvigelsesteknikker

Angrebskæden demonstrerer en høj grad af sofistikering gennem kombinationen af flere undvigelsesstrategier:

  • Brug af trojansk legitim software til at omgå mistanke
  • Udnyttelse af kompromitteret, men pålidelig webinfrastruktur til C2-operationer
  • Forklædning af skadelige data som godartede filer, såsom JPG-billeder

    • Det er værd at bemærke, at angriberne udnyttede et kompromitteret websted, der var knyttet til en japansk ejendomsmæglervirksomheds filial i Seoul, til at distribuere kommandoer og nyttelast. Nyttelasten i andet trin fremstår som en uskyldig billedfil, der skjuler den endelige RokRAT-implementering.

    Flertrinsudførelse: Fra social kontakt til fuldt kompromis

    Angrebssekvensen forløber gennem flere koordinerede faser. Trusselaktører oprettede Facebook-konti med navnene 'richardmichael0828' og 'johnsonsophia0414' den 10. november 2025. Efter etablering af rapport omdirigeres kommunikationen til Telegram, hvor ofrene modtager et ZIP-arkiv, der indeholder den ondsindede PDF-fremviser, lokkedokumenter og installationsvejledninger.

    Kørsel af det kompromitterede installationsprogram udløser krypteret shellcode, som opretter forbindelse til et C2-domæne og henter en sekundær nyttelast forklædt som en JPG-billedfil. Denne fil leverer i sidste ende den fulde RokRAT-malware.

    Cloudbaseret kommando og kontrol: Indlemmelse i legitim trafik

    RokRAT forbedrer yderligere sin stealth ved at misbruge Zoho WorkDrive som en del af sin C2-infrastruktur, en metode der også blev observeret i 'Ruby Jumper'-kampagnen identificeret i begyndelsen af 2026. Gennem denne tilgang udfører malwaren funktioner som skærmbilledeoptagelse, fjernkommandoudførelse via systemskaller, indsamling af værtsdata og sikkerhedsundgåelse.

    Strategisk fokus: Stabilitet i funktion, innovation i levering

    Selvom RokRATs kernefunktioner stort set er forblevet ensartede på tværs af operationer, fortsætter dets leveringsmekanismer og undvigelsestaktikker med at udvikle sig. Denne strategiske vægtning demonstrerer et bevidst fokus på at forbedre infektionsvektorer og stealth-teknikker snarere end at ændre malwarens grundlæggende funktionalitet.

    Trending

    Mest sete

    Indlæser...