הצעת הנחה מרובה רישיונות
מסד נתונים של איומים דלתות אחוריות RokRAT Malware

RokRAT Malware

עד Mezo ב-דלתות אחוריות, איום מתמשך מתקדם (APT)
לתרגם ל:

קבוצת האיומים הצפון קוריאנית APT37 (הידועה גם בשם ScarCruft) נקשרה לקמפיין סייבר מתוחכם ורב-שלבי הממנפ את הנדסה חברתית דרך פייסבוק. התוקפים יוזמים קשר על ידי שליחת בקשות חברות, בונים בהדרגה אמון לפני שהם הופכים את האינטראקציה לערוץ העברת תוכנות זדוניות. מניפולציה מחושבת זו מאפשרת בסופו של דבר פריסה של טרויאן הגישה מרחוק RokRAT.

נשק הבחירה: האבולוציה של RokRAT

RokRAT נותרה הנוזקה העיקרית בשימוש על ידי הקבוצה והתפתחה באופן משמעותי עם הזמן, עם התאמות לפלטפורמות כמו macOS ואנדרואיד. המשך הפיתוח שלה מדגיש השקעה תפעולית מתמשכת.

התוכנה הזדונית מסוגלת לבצע מגוון רחב של פעילויות זדוניות, כולל:

  • איסוף אישורים וחילוץ נתונים רגישים
  • צילום מסך וסיקור מערכת
  • ביצוע פקודות וקוד מעטפת
  • מניפולציה של קבצים וספריות

כדי להסתיר את פעילותה, גרסאות קודמות אחסנו נתונים גנובים בפורמטים של קבצי MP3. בנוסף, RokRAT מסווה את תקשורת הפיקוד והשליטה (C2) שלה על ידי ניתוב נתונים דרך פלטפורמות ענן לגיטימיות כמו Dropbox, Microsoft OneDrive, pCloud ו-Yandex Cloud.

אמון כגורם התקפה: מניפולציה ברשתות חברתיות

הקמפיין מתחיל ביצירת פרסונות פייסבוק הונאה, שלפי הדיווחים ממוקמות בפיונגיאנג ובפיונגסונג. חשבונות אלה משמשים לזיהוי והערכת קורבנות פוטנציאליים. לאחר יצירת קשר, השיחות עוברות למסנג'ר, שם מוצגים נושאים שנבחרו בקפידה כדי להעמיק את האמון והמעורבות.

טקטיקה קריטית המופעלת היא תירוץ, שכנוע מטרות להתקין מציג PDF ייעודי תחת ההנחה השגויה שהוא נדרש כדי לגשת למסמכים צבאיים מוצפנים. האפליקציה המסופקת היא גרסה שונה של Wondershare PDFelement, המוטמעת בקוד מעטפת זדוני. לאחר ההפעלה, מתקין זה יוזם את הפריצה על ידי מתן גישה ראשונית למערכת לתוקפים.

הונאה שכבתית: טכניקות מתקדמות למסירה והתחמקות

שרשרת ההתקפה מפגינה רמה גבוהה של תחכום באמצעות שילוב של אסטרטגיות התחמקות מרובות:

  • שימוש בתוכנה לגיטימית טרויאנית כדי לעקוף חשד
  • ניצול תשתית אינטרנט פגועה אך מהימנה עבור פעולות C2
  • הסוואת מטענים זדוניים כקבצים שפירים, כגון תמונות JPG

ראוי לציין, כי התוקפים ניצלו אתר אינטרנט פרוץ המקושר לסניף של שירות נדל"ן יפני בסיאול כדי להפיץ פקודות ומטענים. המטען של השלב השני נראה כקובץ תמונה תמים, המסתיר את פריסת RokRAT הסופית.

ביצוע רב-שלבי: מקשר חברתי ועד פשרה מלאה

רצף ההתקפה מתקדם דרך מספר שלבים מתואמים. גורמי האיום יצרו חשבונות פייסבוק בשם 'richardmichael0828' ו-'johnsonsophia0414' ב-10 בנובמבר 2025. לאחר יצירת קשר, התקשורת מנותבת לטלגרם, שם הקורבנות מקבלים ארכיון ZIP המכיל את מציג ה-PDF הזדוני, מסמכי פיתיון והוראות התקנה.

הרצת מתקין הפגוע מפעילה קוד מעטפת מוצפן, אשר מתחבר לדומיין C2 ומאחזר מטען משני המוסווה כקובץ תמונה JPG. קובץ זה מספק בסופו של דבר את תוכנת הזדונית RokRAT המלאה.

פיקוד ובקרה מבוססי ענן: השתלבות בתעבורה לגיטימית

RokRAT משפרת עוד יותר את יכולת החמקנות שלה על ידי שימוש לרעה ב-Zoho WorkDrive כחלק מתשתית ה-C2 שלה, שיטה שנצפתה גם בקמפיין 'Ruby Jumper' שזוהה בתחילת 2026. באמצעות גישה זו, הנוזקה מבצעת פונקציות כגון צילום מסך, ביצוע פקודות מרחוק דרך מעטפות מערכת, איסוף נתוני מארח והתחמקות מאבטחה.

מיקוד אסטרטגי: יציבות בתפקוד, חדשנות באספקה

בעוד שיכולות הליבה של RokRAT נותרו עקביות במידה רבה בכל הפעולות, מנגנוני ההעברה וטקטיקות ההתחמקות שלה ממשיכים להתפתח. דגש אסטרטגי זה מדגים התמקדות מכוונת בשיפור וקטורי הדבקה וטכניקות התגנבות במקום לשנות את הפונקציונליות הבסיסית של התוכנה הזדונית.

מגמות

נדרש אימות אבטחה - הונאת דוא"ל

פישינג, ספאם
זהירות בעת התמודדות עם מיילים בלתי צפויים חיונית לשמירה על אבטחה מקוונת. פושעי סייבר מסווים לעתים קרובות הודעות זדוניות כתקשורת לגיטימית כדי לנצל אמון ודחיפות. הונאת הדוא"ל המכונה "נדרש אימות אבטחה" היא דוגמה מובהקת לטקטיקה זו. מיילים אלה אינם קשורים לחברות, ארגונים או ספקי שירותים לגיטימיים, למרות המראה המשכנע שלהם. מבט מקרוב על הונאת 'נדרש אימות אבטחה' ניתוח מפורט מראה כי הודעות דוא"ל...

הכי נצפה

טוען...