Vairāku licenču atlaides piedāvājums
Draudu datu bāze Aizmugures durvis RokRAT ļaunprogrammatūra

RokRAT ļaunprogrammatūra

Līdz Mezo. gadam Aizmugures durvis, Advanced Persistent Threat (APT). gadā
Tulkot uz:

Ziemeļkorejas draudu grupa APT37 (pazīstama arī kā ScarCruft) ir saistīta ar sarežģītu, daudzpakāpju kiberkampaņu, kas izmanto sociālo inženieriju, izmantojot Facebook. Uzbrucēji uzsāk saziņu, nosūtot draudzības pieprasījumus, pakāpeniski veidojot uzticību, pirms mijiedarbību pārveido par ļaunprogrammatūras piegādes kanālu. Šī aprēķinātā manipulācija galu galā ļauj izvietot attālās piekļuves Trojas zirgu RokRAT.

Izvēles ierocis: RokRAT evolūcija

RokRAT joprojām ir grupas galvenā izmantotā ļaunprogrammatūra, un laika gaitā tā ir ievērojami attīstījusies, pielāgojoties tādām platformām kā macOS un Android. Tās nepārtrauktā attīstība liecina par ilgtspējīgām operacionālām investīcijām.

Ļaunprogrammatūra spēj veikt plašu ļaunprātīgu darbību spektru, tostarp:

  • Akreditācijas datu ieguve un sensitīvu datu eksfiltrācija
  • Ekrānuzņēmumu uzņemšana un sistēmas izpēte
  • Komandu un apvalkkoda izpilde
  • Failu un direktoriju manipulācija

Lai slēptu savu darbību, agrākās versijas glabāja nozagtos datus MP3 failu formātos. Turklāt RokRAT maskē savu komandu un kontroles (C2) saziņu, maršrutējot datus caur likumīgām mākoņplatformām, piemēram, Dropbox, Microsoft OneDrive, pCloud un Yandex Cloud.

Uzticība kā uzbrukuma vektors: sociālo mediju manipulācijas

Kampaņa sākas ar krāpniecisku Facebook personu izveidi, kas, kā ziņots, atrodas Phenjanā un Phenjonsonā. Šie konti tiek izmantoti, lai identificētu un novērtētu potenciālos upurus. Kad ir izveidots savienojums, sarunas pāriet uz Messenger, kur tiek apspriestas rūpīgi atlasītas tēmas, lai stiprinātu uzticēšanos un iesaisti.

Kritiski svarīga taktika ir iegansts, proti, mērķu pārliecināšana instalēt specializētu PDF skatītāju ar maldīgu pieņēmumu, ka tas ir nepieciešams, lai piekļūtu šifrētiem militāriem dokumentiem. Piedāvātā lietojumprogramma ir modificēta Wondershare PDFelement versija, kurā iestrādāts ļaunprātīgs apvalka kods. Pēc izpildes šis instalētājs ierosina kompromitēšanu, piešķirot uzbrucējiem sākotnējo piekļuvi sistēmai.

Slāņveida maldināšana: uzlabotas piegādes un izvairīšanās metodes

Uzbrukuma ķēde demonstrē augstu sarežģītības pakāpi, apvienojot vairākas izvairīšanās stratēģijas:

  • Trojas zirgu inficētas likumīgas programmatūras izmantošana, lai apietu aizdomas
  • Apdraudētas, bet uzticamas tīmekļa infrastruktūras izmantošana C2 operācijām
  • Ļaunprātīgu vērtumu maskēšana kā nekaitīgi faili, piemēram, JPG attēli

Jāatzīmē, ka uzbrucēji izmantoja kompromitētu vietni, kas bija saistīta ar Japānas nekustamo īpašumu pakalpojuma Seulas filiāli, lai izplatītu komandas un vērtumus. Otrā posma vērtums parādās kā nekaitīgs attēla fails, kas slēpj galīgo RokRAT izvietojumu.

Daudzpakāpju izpilde: no sociālā kontakta līdz pilnīgam kompromisam

Uzbrukuma secība norit vairākos koordinētos posmos. Draudu izpildītāji 2025. gada 10. novembrī izveidoja Facebook kontus ar nosaukumu “richardmichael0828” un “johnsonsophia0414”. Pēc saziņas nodibināšanas saziņa tiek novirzīta uz Telegram, kur upuri saņem ZIP arhīvu, kurā ir ļaunprātīgs PDF skatītājs, mānekļa dokumenti un instalēšanas instrukcijas.

Kompromitētā instalētāja izpilde aktivizē šifrētu apvalka kodu, kas izveido savienojumu ar C2 domēnu un izgūst sekundāro vērtumu, kas maskēts kā JPG attēla fails. Šis fails galu galā piegādā pilnu RokRAT ļaunprogrammatūru.

Mākonī balstīta vadība un kontrole: iekļaušanās likumīgā datplūsmā

RokRAT vēl vairāk uzlabo savu slepenību, ļaunprātīgi izmantojot Zoho WorkDrive kā daļu no savas C2 infrastruktūras, un šī metode tika novērota arī 2026. gada sākumā identificētajā kampaņā “Ruby Jumper”. Izmantojot šo pieeju, ļaunprogrammatūra veic tādas funkcijas kā ekrānuzņēmumu uzņemšana, attālināta komandu izpilde, izmantojot sistēmas čaulas, resursdatora datu vākšana un drošības apiešana.

Stratēģiskais fokuss: stabilitāte funkcijās, inovācija piegādē

Lai gan RokRAT pamatspējas visās operācijās ir saglabājušās lielā mērā nemainīgas, tā piegādes mehānismi un apiešanas taktika turpina attīstīties. Šis stratēģiskais uzsvars liecina par apzinātu koncentrēšanos uz infekcijas vektoru un maskēšanās metožu uzlabošanu, nevis ļaunprogrammatūras pamatfunkcionalitātes mainīšanu.

Tendences

Nepieciešama drošības verifikācija e-pasta...

Pikšķerēšana, Mēstules
Lai saglabātu drošību tiešsaistē, ir svarīgi saglabāt piesardzību, strādājot ar negaidītiem e-pastiem. Kibernoziedznieki bieži maskē ļaunprātīgus ziņojumus kā likumīgu saziņu, lai izmantotu uzticību un steidzamību. Tā sauktā e-pasta krāpniecība “Nepieciešama drošības verifikācija” ir spilgts šīs taktikas piemērs. Šie e-pasti, neskatoties uz to pārliecinošo izskatu, nav saistīti ar likumīgiem...

Visvairāk skatīts

Notiek ielāde...