„RokRAT“ kenkėjiška programa
Šiaurės Korėjos grėsmių grupuotė APT37 (taip pat žinoma kaip „ScarCruft“) buvo susieta su sudėtinga, daugiapakope kibernetine kampanija, pasitelkdama socialinę inžineriją per „Facebook“. Užpuolikai užmezga kontaktą siųsdami draugystės užklausas, palaipsniui kurdami pasitikėjimą, o tada paversdami sąveiką kenkėjiškų programų platinimo kanalu. Ši apskaičiuota manipuliacija galiausiai leidžia dislokuoti nuotolinės prieigos Trojos arklį „RokRAT“.
Turinys
Pasirinkto ginklo evoliucija: „RokRAT“
„RokRAT“ išlieka pagrindine grupės naudojama kenkėjiška programa ir laikui bėgant gerokai vystėsi, prisitaikydama prie tokių platformų kaip „macOS“ ir „Android“. Nuolatinis jos tobulinimas pabrėžia nuolatines investicijas į veiklą.
Kenkėjiška programa gali vykdyti platų kenkėjiškų veiksmų spektrą, įskaitant:
- Kredencialų rinkimas ir neskelbtinų duomenų nutekėjimas
- Ekrano kopijos ir sistemos žvalgyba
- Komandų ir apvalkalo kodo vykdymas
- Failų ir katalogų manipuliavimas
Siekdamas paslėpti savo veiklą, ankstesni variantai pavogtus duomenis saugojo MP3 failų formatais. Be to, „RokRAT“ maskuoja savo komandų ir valdymo (C2) ryšius, nukreipdama duomenis per teisėtas debesijos platformas, tokias kaip „Dropbox“, „Microsoft OneDrive“, „pCloud“ ir „Yandex Cloud“.
Pasitikėjimas kaip atakos vektorius: manipuliavimas socialiniuose tinkluose
Kampanija prasideda nuo sukčiavimo būdu sukurtų „Facebook“ profilių, kaip pranešama, Pchenjane ir Pchenjane. Šios paskyros naudojamos potencialioms aukoms identifikuoti ir įvertinti. Užmezgus ryšį, pokalbiai persikelia į „Messenger“, kur pateikiamos kruopščiai atrinktos temos, siekiant sustiprinti pasitikėjimą ir įsitraukimą.
Svarbi taktika – įtikinti taikinius įdiegti specializuotą PDF peržiūros programą klaidingai manant, kad ji reikalinga norint pasiekti užšifruotus karinius dokumentus. Pateikta programa yra modifikuota „Wondershare PDFelement“ versija su kenkėjišku kodu. Paleidus šią diegimo programą, ji inicijuoja įsilaužimą suteikdama užpuolikams pradinę prieigą prie sistemos.
Sluoksniuota apgaulė: pažangios pristatymo ir vengimo technikos
Atakų grandinė pasižymi dideliu sudėtingumu, nes derinamos kelios apėjimo strategijos:
- Trojos arklio užkrėstos teisėtos programinės įrangos naudojimas įtarimams apeiti
Pažymėtina, kad užpuolikai pasinaudojo užkrėsta svetaine, susieta su Japonijos nekilnojamojo turto tarnybos Seulo filialu, komandoms ir naudingosioms apkrovoms platinti. Antrojo etapo naudingoji apkrova atrodo kaip nekenksmingas vaizdo failas, slepiantis galutinį „RokRAT“ diegimą.
Daugiapakopis vykdymas: nuo socialinio kontakto iki visiško kompromiso
Atakos seka vyksta keliais koordinuotais etapais. 2025 m. lapkričio 10 d. kenkėjiškos programos veikėjai sukūrė „Facebook“ paskyras pavadinimu „richardmichael0828“ ir „johnsonsophia0414“. Užmezgus ryšį, bendravimas nukreipiamas į „Telegram“, kur aukos gauna ZIP archyvą, kuriame yra kenkėjiška PDF peržiūros programa, masalo dokumentai ir diegimo instrukcijos.
Vykdant pažeistą diegimo programą, suveikia užšifruotas kodas, kuris prisijungia prie C2 domeno ir nuskaito antrinį turinį, užmaskuotą kaip JPG vaizdo failas. Šis failas galiausiai pateikia visą „RokRAT“ kenkėjišką programą.
Debesijos pagrindu veikiantis valdymas ir kontrolė: įsiliejimas į teisėtą srautą
„RokRAT“ dar labiau sustiprina savo slaptumą piktnaudžiaudama „Zoho WorkDrive“ kaip savo C2 infrastruktūros dalimi – šis metodas taip pat pastebėtas 2026 m. pradžioje identifikuotoje „Ruby Jumper“ kampanijoje. Šiuo metodu kenkėjiška programa atlieka tokias funkcijas kaip ekrano kopijų fiksavimas, nuotolinis komandų vykdymas per sistemos apvalkalus, pagrindinio kompiuterio duomenų rinkimas ir saugumo apėjimas.
Strateginis dėmesys: Funkcijų stabilumas, Pristatymo Inovacijos
Nors pagrindiniai „RokRAT“ pajėgumai išliko iš esmės tokie patys įvairiose operacijose, jos pristatymo mechanizmai ir apėjimo taktika toliau vystosi. Šis strateginis dėmesys rodo sąmoningą dėmesį infekcijos vektorių ir slaptų metodų tobulinimui, o ne kenkėjiškų programų pagrindinių funkcijų keitimui.
