RokRAT pahavara
Põhja-Korea ohurühmitus APT37 (tuntud ka kui ScarCruft) on seostatud keeruka mitmeastmelise küberkampaaniaga, mis kasutab Facebooki kaudu sotsiaalset manipuleerimist. Ründajad alustavad kontakti sõbrakutsete saatmisega, luues järk-järgult usaldust, enne kui suhtluse pahavara edastuskanaliks muudavad. See kalkuleeritud manipuleerimine võimaldab lõpuks kaugjuurdepääsuga trooja RokRATi kasutuselevõttu.
Sisukord
Valikuline relv: RokRATi evolutsioon
RokRAT on endiselt grupi peamine pahavara, mis on aja jooksul märkimisväärselt arenenud, kohandustega sellistele platvormidele nagu macOS ja Android. Selle pidev arendamine rõhutab jätkusuutlikke investeeringuid tegevusse.
Pahavara on võimeline teostama laia spektrit pahatahtlikke tegevusi, sealhulgas:
- Volituste kogumine ja tundlike andmete väljaviimine
- Ekraanipildi jäädvustamine ja süsteemi luure
- Käskude ja shellkoodi täitmine
- Failide ja kataloogide manipuleerimine
Oma tegevuse varjamiseks salvestasid varasemad variandid varastatud andmeid MP3-failivormingutes. Lisaks varjab RokRAT oma juhtimis- ja kontrollsuhtlust (C2), suunates andmeid läbi legitiimsete pilveplatvormide, nagu Dropbox, Microsoft OneDrive, pCloud ja Yandex Cloud.
Usaldus rünnakuvektorina: sotsiaalmeedia manipuleerimine
Kampaania algab petturlike Facebooki persoonide loomisega, mis väidetavalt asuvad Pyongyangis ja Pyongsongis. Neid kontosid kasutatakse potentsiaalsete ohvrite tuvastamiseks ja hindamiseks. Kui ühendus on loodud, liiguvad vestlused Messengeri, kus tutvustatakse hoolikalt valitud teemasid usalduse ja kaasatuse süvendamiseks.
Üks oluline taktika on ettekäänete varjamine, mille käigus veenatakse sihtmärke installima spetsiaalne PDF-vaatur eksliku eelduse alusel, et see on vajalik krüpteeritud sõjalistele dokumentidele juurdepääsuks. Pakutav rakendus on Wondershare PDFelementi modifitseeritud versioon, mis on manustatud pahatahtliku koodiga. Käivitamisel algatab see installija rünnaku, andes ründajatele esialgse süsteemijuurdepääsu.
Kihiline pettus: täiustatud kohaletoimetamise ja kõrvalehoidmise tehnikad
Rünnakuahel on mitmete kõrvalehoidumisstrateegiate kombinatsiooni kaudu väga keerukas:
- Trooja nakatatud legaalse tarkvara kasutamine kahtluse vältimiseks
- Ohustatud, kuid usaldusväärse veebitaristu ärakasutamine C2-operatsioonide jaoks
- Pahatahtlike koormuste varjamine healoomuliste failidena, näiteks JPG-piltidena
Tähelepanuväärne on see, et ründajad kasutasid käskude ja kasuliku teabe levitamiseks ära Jaapani kinnisvarateenuse Souli haruga seotud ohustatud veebisaiti. Teise etapi kasulik teave näib olevat süütu pildifail, mis varjab RokRATi lõplikku juurutust.
Mitmeastmeline teostus: sotsiaalsest kontaktist täieliku kompromissini
Rünnakujärjestus läbib mitut koordineeritud etappi. Ohtlikud isikud lõid 10. novembril 2025 Facebooki kontod nimega „richardmichael0828” ja „johnsonsophia0414”. Pärast ühenduse loomist suunatakse suhtlus Telegrami, kus ohvrid saavad ZIP-arhiivi, mis sisaldab pahatahtlikku PDF-vaaturit, peibutusdokumente ja installijuhiseid.
Ohustatud installija käivitamine käivitab krüpteeritud koodi, mis loob ühenduse C2-domeeniga ja hangib JPG-pildifailina maskeeritud teisese kasuliku teabe. See fail edastab lõpuks RokRAT-i täieliku pahavara.
Pilvepõhine juhtimine ja kontroll: sulandumine seaduslikku liiklusse
RokRAT suurendab oma varjatud võimeid veelgi, kuritarvitades Zoho WorkDrive'i oma C2-infrastruktuuri osana – meetodit, mida täheldati ka 2026. aasta alguses tuvastatud „Ruby Jumperi” kampaanias. Selle lähenemisviisi abil täidab pahavara selliseid funktsioone nagu ekraanipiltide jäädvustamine, käskude kaugkäivitamine süsteemi kestade kaudu, hostiandmete kogumine ja turvaintsidentide vältimine.
Strateegiline fookus: stabiilsus funktsioonis, innovatsioon teenuste osutamisel
Kuigi RokRATi põhivõimed on operatsioonide lõikes jäänud suures osas samaks, arenevad selle kohaletoimetamise mehhanismid ja rünnakute vältimise taktikad pidevalt. See strateegiline rõhuasetus näitab teadlikku keskendumist nakkusvektorite ja vargustehnikate täiustamisele, mitte pahavara põhifunktsioonide muutmisele.
