Sebut Harga Diskaun Berbilang Lesen
Pangkalan Data Ancaman Pintu belakang Perisian Hasad RokRAT

Perisian Hasad RokRAT

Menjelang Mezo pada Pintu belakang, Ancaman Berterusan Lanjutan (APT)
Terjemahkan ke

Kumpulan ancaman Korea Utara APT37 (juga dikenali sebagai ScarCruft) telah dikaitkan dengan kempen siber berbilang peringkat yang canggih yang memanfaatkan kejuruteraan sosial melalui Facebook. Penyerang memulakan hubungan dengan menghantar permintaan rakan, secara beransur-ansur membina kepercayaan sebelum mengubah interaksi menjadi saluran penghantaran perisian hasad. Manipulasi terkira ini akhirnya membolehkan penggunaan trojan akses jauh RokRAT.

Senjata Pilihan: Evolusi RokRAT

RokRAT kekal sebagai perisian hasad utama yang digunakan oleh kumpulan itu dan telah berkembang dengan ketara dari semasa ke semasa, dengan penyesuaian untuk platform seperti macOS dan Android. Pembangunan berterusannya menonjolkan pelaburan operasi yang berterusan.

Malware ini mampu melaksanakan pelbagai aktiviti berniat jahat, termasuk:

  • Penuaian kelayakan dan pengekstrakan data sensitif
  • Tangkapan skrin dan peninjauan sistem
  • Pelaksanaan arahan dan shellcode
  • Manipulasi fail dan direktori

Untuk mengaburkan operasinya, varian terdahulu menyimpan data yang dicuri dalam format fail MP3. Selain itu, RokRAT menyamarkan komunikasi arahan dan kawalan (C2) dengan menghalakan data melalui platform awan yang sah seperti Dropbox, Microsoft OneDrive, pCloud dan Yandex Cloud.

Kepercayaan sebagai Vektor Serangan: Manipulasi Media Sosial

Kempen ini bermula dengan penciptaan persona Facebook palsu, yang dilaporkan berpangkalan di Pyongyang dan Pyongsong. Akaun-akaun ini digunakan untuk mengenal pasti dan menilai bakal mangsa. Sebaik sahaja sambungan dijalin, perbualan beralih kepada Messenger, di mana topik yang dipilih dengan teliti diperkenalkan untuk memperdalam kepercayaan dan penglibatan.

Taktik kritikal yang digunakan adalah dengan berdalih, meyakinkan sasaran untuk memasang pemapar PDF khusus di bawah premis palsu bahawa ia diperlukan untuk mengakses dokumen ketenteraan yang disulitkan. Aplikasi yang disediakan adalah versi Wondershare PDFelement yang diubah suai, yang dibenamkan dengan shellcode berniat jahat. Setelah pelaksanaan, pemasang ini memulakan kompromi dengan memberikan penyerang akses sistem awal.

Penipuan Berlapis: Teknik Penghantaran dan Pengelakan Lanjutan

Rantaian serangan menunjukkan tahap kecanggihan yang tinggi melalui gabungan pelbagai strategi pengelakan:

  • Penggunaan perisian sah yang ditrojankan untuk mengelakkan syak wasangka
  • Eksploitasi infrastruktur web yang terjejas tetapi dipercayai untuk operasi C2
  • Menyamar sebagai fail berbahaya seperti imej JPG

Terutamanya, penyerang memanfaatkan laman web yang diceroboh yang dipautkan ke cawangan Seoul perkhidmatan hartanah Jepun untuk mengedarkan arahan dan muatan. Muatan peringkat kedua muncul sebagai fail imej yang tidak berbahaya, menyembunyikan penggunaan RokRAT terakhir.

Pelaksanaan Pelbagai Peringkat: Daripada Hubungan Sosial kepada Kompromi Penuh

Urutan serangan itu melalui beberapa peringkat yang diselaraskan. Pelakon ancaman telah mencipta akaun Facebook bernama 'richardmichael0828' dan 'johnsonsophia0414' pada 10 November 2025. Selepas menjalin hubungan baik, komunikasi akan dialihkan ke Telegram, di mana mangsa menerima arkib ZIP yang mengandungi pemapar PDF berniat jahat, dokumen umpan dan arahan pemasangan.

Pelaksanaan pemasang yang dikompromi akan mencetuskan shellcode yang disulitkan, yang bersambung ke domain C2 dan mengambil muatan sekunder yang menyamar sebagai fail imej JPG. Fail ini akhirnya menghantar perisian hasad RokRAT sepenuhnya.

Perintah dan Kawalan Berasaskan Awan: Bercampur dengan Trafik Sah

RokRAT terus meningkatkan kerahsiaannya dengan menyalahgunakan Zoho WorkDrive sebagai sebahagian daripada infrastruktur C2nya, satu kaedah yang turut diperhatikan dalam kempen 'Ruby Jumper' yang dikenal pasti pada awal tahun 2026. Melalui pendekatan ini, perisian hasad tersebut melaksanakan fungsi seperti tangkapan skrin, pelaksanaan arahan jauh melalui cangkerang sistem, pengumpulan data hos dan pengelakan keselamatan.

Fokus Strategik: Kestabilan Fungsi, Inovasi Penyampaian

Walaupun keupayaan teras RokRAT sebahagian besarnya kekal konsisten merentasi operasi, mekanisme penyampaiannya dan taktik pengelakan terus berkembang. Penekanan strategik ini menunjukkan tumpuan yang disengajakan untuk menambah baik vektor jangkitan dan teknik penyembunyian dan bukannya mengubah fungsi asas perisian hasad.

Catatan Berkaitan

Trending

Paling banyak dilihat

Memuatkan...