Több licencre vonatkozó kedvezményes árajánlat
Veszély-adatbázis Hátsó ajtók RokRAT kártevő

RokRAT kártevő

Mezo -ra Hátsó ajtók, Advanced Persistent Threat (APT)-ben
Fordítás ide:

Az észak-koreai APT37 (más néven ScarCruft) nevű fenyegető csoportot összefüggésbe hozták egy kifinomult, többlépcsős kiberkampánnyal, amely a Facebookon keresztüli társadalmi manipulációt alkalmazza. A támadók barátkozási kérelmek küldésével kezdeményezik a kapcsolatfelvételt, fokozatosan építik ki a bizalmat, mielőtt az interakciót rosszindulatú programok terjesztési csatornájává alakítanák. Ez a tudatos manipuláció végső soron lehetővé teszi a RokRAT távoli hozzáférésű trójai telepítését.

A választott fegyver: A RokRAT evolúciója

A RokRAT továbbra is a csoport által használt elsődleges kártevő, amely az idők során jelentősen fejlődött, olyan platformokhoz igazodva, mint a macOS és az Android. Folyamatos fejlesztése a fenntartható működési beruházásokat is kiemeli.

A kártevő képes széles körű kártékony tevékenységek végrehajtására, beleértve:

  • Hitelesítő adatok gyűjtögetése és bizalmas adatok kiszűrése
  • Képernyőkép készítése és rendszerfelderítés
  • Parancsok és shellkódok végrehajtása
  • Fájl- és könyvtárkezelés

A működésük elrejtése érdekében a korábbi variánsok MP3 fájlformátumban tárolták az ellopott adatokat. Ezenkívül a RokRAT a parancs-és-vezérlési (C2) kommunikációját úgy álcázza, hogy az adatokat legitim felhőplatformokon, például a Dropboxon, a Microsoft OneDrive-on, a pCloudon és a Yandex Cloudon keresztül továbbítja.

A bizalom mint támadási vektor: a közösségi média manipulációja

A kampány csalárd Facebook-personák létrehozásával kezdődik, amelyek állítólag Phenjanban és Phenjanban találhatók. Ezeket a fiókokat a potenciális áldozatok azonosítására és értékelésére használják. Amint létrejön a kapcsolat, a beszélgetések a Messengerre tevődtek át, ahol gondosan kiválasztott témákat vetnek fel a bizalom és az elköteleződés elmélyítése érdekében.

Egy kritikusan alkalmazott taktika az ürügy, amivel a célpontokat ráveszik egy speciális PDF-megjelenítő telepítésére azzal a hamis feltételezéssel, hogy az szükséges a titkosított katonai dokumentumok eléréséhez. A biztosított alkalmazás a Wondershare PDFelement módosított változata, amelybe rosszindulatú shellkódot ágyaztak be. Futáskor ez a telepítő a támadóknak kezdeti rendszerhozzáférést biztosítva indítja el a behatolást.

Réteges megtévesztés: Haladó kézbesítési és kibúvó technikák

A támadási lánc a többszörös kitérési stratégiák kombinációján keresztül magas fokú kifinomultságot mutat:

  • Trójai vírussal fertőzött, legitim szoftverek használata a gyanú megkerülésére
  • Feltört, de megbízható webes infrastruktúra kihasználása C2-műveletekhez
  • Kártékony fájlok, például JPG képek álcázása

Figyelemre méltó, hogy a támadók egy japán ingatlanügynökség szöuli fiókjához kapcsolódó feltört weboldalt használtak fel parancsok és hasznos adatok terjesztésére. A második fokozatú hasznos adat egy ártalmatlan képfájlként jelenik meg, elrejtve a RokRAT végső telepítését.

Többlépcsős kivitelezés: a társas kapcsolattól a teljes kompromisszumig

A támadási sorozat több összehangolt szakaszon keresztül halad. A támadók 2025. november 10-én létrehozták a „richardmichael0828” és a „johnsonsophia0414” nevű Facebook-fiókokat. A kapcsolatfelvétel után a kommunikáció a Telegramra kerül átirányításra, ahol az áldozatok egy ZIP archívumot kapnak, amely tartalmazza a rosszindulatú PDF-megjelenítőt, a csali dokumentumokat és a telepítési utasításokat.

A feltört telepítő futtatása titkosított shellkódot indít el, amely egy C2 domainhez csatlakozik, és egy JPG képfájlként álcázott másodlagos adatot kér le. Ez a fájl végül a teljes RokRAT kártevőt szállítja.

Felhőalapú parancs és vezérlés: Beolvadás a jogos forgalomba

A RokRAT tovább fokozza lopakodását azzal, hogy a Zoho WorkDrive-ot használja C2 infrastruktúrájának részeként, ezt a módszert a 2026 elején azonosított „Ruby Jumper” kampányban is megfigyelték. Ezzel a megközelítéssel a rosszindulatú program olyan funkciókat hajt végre, mint a képernyőképek rögzítése, távoli parancsok végrehajtása rendszerhéjakon keresztül, host adatgyűjtés és biztonsági rés megkerülése.

Stratégiai fókusz: Stabilitás a funkcióban, Innováció a megvalósításban

Míg a RokRAT alapvető képességei nagyrészt változatlanok maradtak a műveletek során, kézbesítési mechanizmusai és kijátszási taktikái folyamatosan fejlődnek. Ez a stratégiai hangsúly a fertőzési vektorok és a lopakodó technikák fejlesztésére irányuló szándékos összpontosítást mutatja, ahelyett, hogy a rosszindulatú program alapvető funkcióinak megváltoztatására törekedne.

Felkapott

Biztonsági ellenőrzés szükséges E-mailes átverés

Adathalászat, Spam
Az online biztonság megőrzése érdekében elengedhetetlen az óvatosság a váratlan e-mailek kezelésénél. A kiberbűnözők gyakran álcázzák a rosszindulatú üzeneteket legitim kommunikációként, hogy kihasználják a bizalmat és a sürgősséget. Az úgynevezett „Biztonsági ellenőrzés szükséges” e-mailes átverés ennek a taktikának a kiváló példája. Ezek az e-mailek meggyőző megjelenésük ellenére sem...

Legnézettebb

Betöltés...