RokRAT मालवेयर

उत्तर कोरियाली खतरा समूह APT37 (जसलाई ScarCruft पनि भनिन्छ) फेसबुक मार्फत सामाजिक इन्जिनियरिङको फाइदा उठाउँदै एक परिष्कृत, बहु-चरणीय साइबर अभियानसँग जोडिएको छ। आक्रमणकारीहरूले मित्र अनुरोधहरू पठाएर सम्पर्क सुरु गर्छन्, अन्तरक्रियालाई मालवेयर डेलिभरी च्यानलमा रूपान्तरण गर्नु अघि बिस्तारै विश्वास निर्माण गर्छन्। यो गणना गरिएको हेरफेरले अन्ततः रिमोट एक्सेस ट्रोजन RokRAT को तैनातीलाई सक्षम बनाउँछ।

रोजाइको हतियार: रोक्रेटको विकास

RokRAT समूहद्वारा प्रयोग गरिने प्राथमिक मालवेयर बनेको छ र समयसँगै उल्लेखनीय रूपमा विकसित भएको छ, macOS र एन्ड्रोइड जस्ता प्लेटफर्महरूको लागि अनुकूलनहरू सहित। यसको निरन्तर विकासले दिगो परिचालन लगानीलाई हाइलाइट गर्दछ।

यो मालवेयरले विभिन्न प्रकारका दुर्भावनापूर्ण गतिविधिहरू गर्न सक्षम छ, जसमा निम्न समावेश छन्:

• प्रमाण संकलन र संवेदनशील डेटा एक्सफिल्टरेशन
• स्क्रिनसट क्याप्चर र प्रणालीको खोजी
• आदेशहरू र शेलकोडको कार्यान्वयन
• फाइल र निर्देशिका हेरफेर

यसको सञ्चालनलाई अस्पष्ट पार्न, पहिलेका भेरियन्टहरूले चोरी गरिएको डाटा MP3 फाइल ढाँचामा भण्डारण गर्थे। थप रूपमा, RokRAT ले ड्रपबक्स, माइक्रोसफ्ट वनड्राइभ, पीक्लाउड, र यान्डेक्स क्लाउड जस्ता वैध क्लाउड प्लेटफर्महरू मार्फत डाटा राउट गरेर यसको कमाण्ड-एन्ड-कन्ट्रोल (C2) सञ्चारलाई लुकाउँछ।

आक्रमण वाहकको रूपमा विश्वास: सामाजिक सञ्जाल हेरफेर

यो अभियान प्योङयाङ र प्योङसोङमा आधारित ठगीपूर्ण फेसबुक व्यक्तित्वहरू सिर्जना गरेर सुरु हुन्छ। यी खाताहरू सम्भावित पीडितहरूको पहिचान र मूल्याङ्कन गर्न प्रयोग गरिन्छ। एक पटक जडान स्थापित भएपछि, कुराकानीहरू मेसेन्जरमा सर्छन्, जहाँ विश्वास र संलग्नतालाई गहिरो बनाउन सावधानीपूर्वक चयन गरिएका विषयहरू प्रस्तुत गरिन्छ।

प्रयोग गरिएको एउटा महत्वपूर्ण रणनीति भनेको इन्क्रिप्टेड सैन्य कागजातहरू पहुँच गर्न आवश्यक छ भन्ने झूटो आधार अन्तर्गत विशेष PDF दर्शक स्थापना गर्न लक्षितहरूलाई मनाउनु हो। प्रदान गरिएको अनुप्रयोग Wondershare PDFelement को परिमार्जित संस्करण हो, जुन दुर्भावनापूर्ण शेलकोडले इम्बेड गरिएको छ। कार्यान्वयनमा, यो स्थापनाकर्ताले आक्रमणकारीहरूलाई प्रारम्भिक प्रणाली पहुँच प्रदान गरेर सम्झौता सुरु गर्दछ।

तहगत छल: उन्नत डेलिभरी र चोरी प्रविधिहरू

आक्रमण शृङ्खलाले धेरै छल्ने रणनीतिहरूको संयोजन मार्फत उच्च स्तरको परिष्कार प्रदर्शन गर्दछ:

• शंकालाई बाइपास गर्न ट्रोजनाइज्ड वैध सफ्टवेयरको प्रयोग

उल्लेखनीय रूपमा, आक्रमणकारीहरूले जापानी रियल इस्टेट सेवाको सियोल शाखासँग लिङ्क गरिएको सम्झौता गरिएको वेबसाइटलाई आदेश र पेलोडहरू वितरण गर्न प्रयोग गरे। दोस्रो-चरणको पेलोड एक निर्दोष छवि फाइलको रूपमा देखा पर्दछ, जसले अन्तिम RokRAT तैनाती लुकाउँछ।

बहु-चरणीय कार्यान्वयन: सामाजिक सम्पर्कदेखि पूर्ण सम्झौतासम्म

आक्रमणको क्रम धेरै समन्वित चरणहरू पार गर्दै अगाडि बढ्छ। धम्की दिने व्यक्तिहरूले नोभेम्बर १०, २०२५ मा 'richardmichael0828' र 'johnsonsophia0414' नामक फेसबुक खाताहरू सिर्जना गरे। सम्बन्ध स्थापित गरेपछि, सञ्चार टेलिग्राममा रिडिरेक्ट हुन्छ, जहाँ पीडितहरूले दुर्भावनापूर्ण PDF दर्शक, नक्कली कागजातहरू, र स्थापना निर्देशनहरू सहितको ZIP अभिलेख प्राप्त गर्छन्।

सम्झौता गरिएको स्थापनाकर्ताको कार्यान्वयनले एन्क्रिप्टेड शेलकोड ट्रिगर गर्दछ, जुन C2 डोमेनमा जडान हुन्छ र JPG छवि फाइलको रूपमा भेषमा रहेको माध्यमिक पेलोड पुन: प्राप्त गर्दछ। यो फाइलले अन्ततः पूर्ण RokRAT मालवेयर प्रदान गर्दछ।

क्लाउड-आधारित आदेश र नियन्त्रण: वैध ट्राफिकमा मिश्रण

RokRAT ले आफ्नो C2 पूर्वाधारको भागको रूपमा Zoho WorkDrive को दुरुपयोग गरेर आफ्नो चोरीलाई अझ बढाउँछ, जुन विधि २०२६ को सुरुमा पहिचान गरिएको 'रुबी जम्पर' अभियानमा पनि अवलोकन गरिएको थियो। यस दृष्टिकोण मार्फत, मालवेयरले स्क्रिनसट क्याप्चर, प्रणाली शेलहरू मार्फत रिमोट कमाण्ड कार्यान्वयन, होस्ट डेटा सङ्कलन, र सुरक्षा चोरी जस्ता कार्यहरू गर्दछ।

रणनीतिक ध्यान: कार्यमा स्थिरता, वितरणमा नवीनता

RokRAT को मुख्य क्षमताहरू सञ्चालनहरूमा धेरै हदसम्म एकरूप रहे पनि, यसको डेलिभरी संयन्त्र र चोरी रणनीतिहरू विकसित हुँदै गइरहेका छन्। यो रणनीतिक जोडले मालवेयरको आधारभूत कार्यक्षमता परिवर्तन गर्नुको सट्टा संक्रमण भेक्टरहरू र चोरी प्रविधिहरू सुधार गर्नमा जानाजानी ध्यान केन्द्रित गरेको देखाउँछ।