Rabatttilbud for flere lisenser
Trusseldatabase Bakdører RokRAT-skadevare

RokRAT-skadevare

Med Mezo i Bakdører, Advanced Persistent Threat (APT)
Oversett til:

Den nordkoreanske trusselgruppen APT37 (også kjent som ScarCruft) har blitt knyttet til en sofistikert, flertrinns cyberkampanje som utnytter sosial manipulering gjennom Facebook. Angripere initierer kontakt ved å sende venneforespørsler, og bygger gradvis tillit før de omdanner samhandlingen til en leveringskanal for skadelig programvare. Denne kalkulerte manipulasjonen muliggjør til slutt utplasseringen av den eksterne tilgangstrojaneren RokRAT.

Valgfritt våpen: Utviklingen av RokRAT

RokRAT er fortsatt den primære skadelige programvaren som brukes av gruppen, og har utviklet seg betydelig over tid, med tilpasninger for plattformer som macOS og Android. Den fortsatte utviklingen fremhever vedvarende driftsinvesteringer.

Skadevaren er i stand til å utføre et bredt spekter av ondsinnede aktiviteter, inkludert:

  • Innsamling av legitimasjon og uttrekk av sensitive data
  • Skjermbildeopptak og systemrekognosering
  • Utførelse av kommandoer og skallkode
  • Fil- og katalogmanipulering

For å skjule driften lagret tidligere varianter stjålne data i MP3-filformater. I tillegg skjuler RokRAT sin kommando-og-kontroll (C2)-kommunikasjon ved å rute data gjennom legitime skyplattformer som Dropbox, Microsoft OneDrive, pCloud og Yandex Cloud.

Tillit som angrepsvektor: Manipulasjon av sosiale medier

Kampanjen starter med opprettelsen av falske Facebook-personaer, angivelig basert i Pyongyang og Pyongsong. Disse kontoene brukes til å identifisere og vurdere potensielle ofre. Når en forbindelse er opprettet, flyttes samtalene til Messenger, hvor nøye utvalgte emner introduseres for å styrke tillit og engasjement.

En kritisk taktikk som brukes er å bruke påskudd til å overbevise mål om å installere en spesialisert PDF-leser under den falske forutsetningen at den er nødvendig for å få tilgang til krypterte militære dokumenter. Programmet som leveres er en modifisert versjon av Wondershare PDFelement, innebygd med ondsinnet skallkode. Ved kjøring starter dette installasjonsprogrammet kompromitteringen ved å gi angriperne første systemtilgang.

Lagdelt bedrag: Avanserte leverings- og unnvikelsesteknikker

Angrepskjeden demonstrerer en høy grad av raffinement gjennom kombinasjonen av flere unnvikelsesstrategier:

  • Bruk av trojansk legitim programvare for å omgå mistanke
  • Utnyttelse av kompromittert, men pålitelig webinfrastruktur for C2-operasjoner
  • Å skjule skadelige nyttelaster som godartede filer, for eksempel JPG-bilder

Det er verdt å merke seg at angriperne utnyttet et kompromittert nettsted knyttet til en japansk eiendomsmeglers avdeling i Seoul for å distribuere kommandoer og nyttelaster. Nyttelasten i andre trinn fremstår som en uskyldig bildefil, som skjuler den endelige RokRAT-distribusjonen.

Flertrinnsutførelse: Fra sosial kontakt til fullstendig kompromiss

Angrepssekvensen går gjennom flere koordinerte stadier. Trusselaktører opprettet Facebook-kontoer med navnene «richardmichael0828» og «johnsonsophia0414» 10. november 2025. Etter at rapporten er etablert, blir kommunikasjonen omdirigert til Telegram, hvor ofrene mottar et ZIP-arkiv som inneholder den skadelige PDF-visningsprogrammet, lokkedokumenter og installasjonsinstruksjoner.

Utførelse av det kompromitterte installasjonsprogrammet utløser kryptert skallkode, som kobler seg til et C2-domene og henter en sekundær nyttelast forkledd som en JPG-bildefil. Denne filen leverer til slutt den fullstendige RokRAT-skadevaren.

Skybasert kommando og kontroll: Blanding med legitim trafikk

RokRAT forbedrer sin stealth ytterligere ved å misbruke Zoho WorkDrive som en del av C2-infrastrukturen, en metode som også ble observert i «Ruby Jumper»-kampanjen som ble identifisert tidlig i 2026. Gjennom denne tilnærmingen utfører skadevaren funksjoner som skjermbildeopptak, fjernutførelse av kommandoer via systemskall, innsamling av vertsdata og sikkerhetsunngåelse.

Strategisk fokus: Stabilitet i funksjon, innovasjon i levering

Selv om RokRATs kjernefunksjoner stort sett har holdt seg konsistente på tvers av operasjoner, fortsetter leveringsmekanismene og unnvikelsestaktikkene å utvikle seg. Denne strategiske vektleggingen viser et bevisst fokus på å forbedre infeksjonsvektorer og stealth-teknikker snarere enn å endre den skadelige programvarens grunnleggende funksjonalitet.

Trender

Mest sett

Laster inn...