RokRAT zlonamjerni softver
Sjevernokorejska prijetnja APT37 (poznata i kao ScarCruft) povezana je sa sofisticiranom, višefaznom kibernetičkom kampanjom koja koristi društveni inženjering putem Facebooka. Napadači iniciraju kontakt slanjem zahtjeva za prijateljstvo, postupno gradeći povjerenje prije nego što interakciju transformiraju u kanal za isporuku zlonamjernog softvera. Ova proračunata manipulacija u konačnici omogućuje implementaciju trojanca RokRAT za udaljeni pristup.
Sadržaj
Oružje izbora: Evolucija RokRAT-a
RokRAT ostaje primarni zlonamjerni softver koji koristi grupa i značajno se razvio tijekom vremena, s prilagodbama za platforme poput macOS-a i Androida. Njegov kontinuirani razvoj naglašava održiva operativna ulaganja.
Zlonamjerni softver sposoban je izvršavati širok spektar zlonamjernih aktivnosti, uključujući:
- Prikupljanje vjerodajnica i krađa osjetljivih podataka
- Snimanje zaslona i izviđanje sustava
- Izvršavanje naredbi i shellcodea
- Manipulacija datotekama i direktorijima
Kako bi prikrili svoje operacije, ranije varijante su pohranjivale ukradene podatke u MP3 formatima datoteka. Osim toga, RokRAT prikriva svoju komunikaciju zapovijedanja i upravljanja (C2) usmjeravanjem podataka putem legitimnih cloud platformi kao što su Dropbox, Microsoft OneDrive, pCloud i Yandex Cloud.
Povjerenje kao vektor napada: Manipulacija društvenim mrežama
Kampanja započinje stvaranjem lažnih Facebook profila, navodno sa sjedištem u Pjongjangu i Pjongsongu. Ti se računi koriste za identifikaciju i procjenu potencijalnih žrtava. Nakon što se uspostavi veza, razgovori se prebacuju na Messenger, gdje se uvode pažljivo odabrane teme kako bi se produbilo povjerenje i angažman.
Ključna taktika koja se koristi je izgovor, uvjeravanje meta da instaliraju specijalizirani preglednik PDF-ova pod lažnom pretpostavkom da je potreban za pristup šifriranim vojnim dokumentima. Pružena aplikacija je modificirana verzija Wondershare PDFelementa, ugrađena sa zlonamjernim shellcodeom. Nakon izvršavanja, ovaj instalacijski program inicira kompromitaciju dajući napadačima početni pristup sustavu.
Slojevita obmana: Napredne tehnike isporuke i izbjegavanja
Lanac napada pokazuje visok stupanj sofisticiranosti kroz kombinaciju više strategija izbjegavanja:
- Korištenje legitimnog softvera zaraženog trojancima kako bi se zaobišla sumnja
- Iskorištavanje kompromitirane, ali pouzdane web infrastrukture za C2 operacije
- Prikrivanje zlonamjernih sadržaja kao benignih datoteka, poput JPG slika
Značajno je da su napadači iskoristili kompromitiranu web stranicu povezanu s podružnicom japanske agencije za nekretnine u Seulu kako bi distribuirali naredbe i korisne podatke. Korisni podaci druge faze pojavljuju se kao bezopasna slikovna datoteka, prikrivajući konačno postavljanje RokRAT-a.
Višefazna izvedba: od društvenog kontakta do potpunog kompromisa
Slijed napada napreduje kroz nekoliko koordiniranih faza. Akteri prijetnji kreirali su Facebook račune pod nazivima 'richardmichael0828' i 'johnsonsophia0414' 10. studenog 2025. Nakon uspostavljanja odnosa, komunikacija se preusmjerava na Telegram, gdje žrtve primaju ZIP arhivu koja sadrži zlonamjerni PDF preglednik, lažne dokumente i upute za instalaciju.
Izvršavanje kompromitiranog instalacijskog programa pokreće šifrirani shellcode koji se povezuje s C2 domenom i dohvaća sekundarni teret prikriven kao JPG slikovnu datoteku. Ova datoteka u konačnici isporučuje cijeli zlonamjerni softver RokRAT.
Upravljanje i kontrola u oblaku: Stapanje u legitimni promet
RokRAT dodatno poboljšava svoju prikrivenost zlouporabom Zoho WorkDrivea kao dijela svoje C2 infrastrukture, metodom koja je također uočena u kampanji 'Ruby Jumper' identificiranoj početkom 2026. Kroz ovaj pristup, zlonamjerni softver obavlja funkcije poput snimanja zaslona, izvršavanja udaljenih naredbi putem sistemskih ljuski, prikupljanja podataka o hostu i izbjegavanja sigurnosti.
Strateški fokus: Stabilnost u funkcioniranju, inovacija u isporuci
Iako su temeljne mogućnosti RokRAT-a ostale uglavnom dosljedne u svim operacijama, njegovi mehanizmi isporuke i taktike izbjegavanja nastavljaju se razvijati. Ovaj strateški naglasak pokazuje namjerni fokus na poboljšanje vektora infekcije i tehnika prikrivanja, a ne na mijenjanje temeljne funkcionalnosti zlonamjernog softvera.
