RokRat ਮਾਲਵੇਅਰ
ਉੱਤਰੀ ਕੋਰੀਆਈ ਧਮਕੀ ਸਮੂਹ APT37 (ਜਿਸਨੂੰ ScarCruft ਵੀ ਕਿਹਾ ਜਾਂਦਾ ਹੈ) ਨੂੰ ਫੇਸਬੁੱਕ ਰਾਹੀਂ ਸੋਸ਼ਲ ਇੰਜੀਨੀਅਰਿੰਗ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ ਇੱਕ ਸੂਝਵਾਨ, ਬਹੁ-ਪੜਾਵੀ ਸਾਈਬਰ ਮੁਹਿੰਮ ਨਾਲ ਜੋੜਿਆ ਗਿਆ ਹੈ। ਹਮਲਾਵਰ ਦੋਸਤ ਬੇਨਤੀਆਂ ਭੇਜ ਕੇ ਸੰਪਰਕ ਸ਼ੁਰੂ ਕਰਦੇ ਹਨ, ਹੌਲੀ-ਹੌਲੀ ਵਿਸ਼ਵਾਸ ਬਣਾਉਂਦੇ ਹਨ ਅਤੇ ਫਿਰ ਗੱਲਬਾਤ ਨੂੰ ਮਾਲਵੇਅਰ ਡਿਲੀਵਰੀ ਚੈਨਲ ਵਿੱਚ ਬਦਲਦੇ ਹਨ। ਇਹ ਗਣਨਾ ਕੀਤੀ ਹੇਰਾਫੇਰੀ ਅੰਤ ਵਿੱਚ ਰਿਮੋਟ ਐਕਸੈਸ ਟ੍ਰੋਜਨ RokRAT ਦੀ ਤੈਨਾਤੀ ਨੂੰ ਸਮਰੱਥ ਬਣਾਉਂਦੀ ਹੈ।
ਵਿਸ਼ਾ - ਸੂਚੀ
ਪਸੰਦ ਦਾ ਹਥਿਆਰ: ਰੋਕਰੇਟ ਦਾ ਵਿਕਾਸ
RokRAT ਸਮੂਹ ਦੁਆਰਾ ਵਰਤਿਆ ਜਾਣ ਵਾਲਾ ਮੁੱਖ ਮਾਲਵੇਅਰ ਬਣਿਆ ਹੋਇਆ ਹੈ ਅਤੇ ਸਮੇਂ ਦੇ ਨਾਲ ਮਹੱਤਵਪੂਰਨ ਤੌਰ 'ਤੇ ਵਿਕਸਤ ਹੋਇਆ ਹੈ, ਜਿਸ ਵਿੱਚ macOS ਅਤੇ Android ਵਰਗੇ ਪਲੇਟਫਾਰਮਾਂ ਲਈ ਅਨੁਕੂਲਤਾਵਾਂ ਸ਼ਾਮਲ ਹਨ। ਇਸਦਾ ਨਿਰੰਤਰ ਵਿਕਾਸ ਨਿਰੰਤਰ ਸੰਚਾਲਨ ਨਿਵੇਸ਼ ਨੂੰ ਉਜਾਗਰ ਕਰਦਾ ਹੈ।
ਇਹ ਮਾਲਵੇਅਰ ਕਈ ਤਰ੍ਹਾਂ ਦੀਆਂ ਖਤਰਨਾਕ ਗਤੀਵਿਧੀਆਂ ਨੂੰ ਅੰਜਾਮ ਦੇਣ ਦੇ ਸਮਰੱਥ ਹੈ, ਜਿਸ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ:
- ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਦੀ ਕਟਾਈ ਅਤੇ ਸੰਵੇਦਨਸ਼ੀਲ ਡੇਟਾ ਦਾ ਨਿਕਾਸ
- ਸਕ੍ਰੀਨਸ਼ੌਟ ਕੈਪਚਰ ਅਤੇ ਸਿਸਟਮ ਰੀਕਨਾਈਸੈਂਸ
- ਕਮਾਂਡਾਂ ਅਤੇ ਸ਼ੈੱਲਕੋਡ ਨੂੰ ਲਾਗੂ ਕਰਨਾ
- ਫਾਈਲ ਅਤੇ ਡਾਇਰੈਕਟਰੀ ਹੇਰਾਫੇਰੀ
ਇਸਦੇ ਕਾਰਜਾਂ ਨੂੰ ਅਸਪਸ਼ਟ ਕਰਨ ਲਈ, ਪੁਰਾਣੇ ਰੂਪਾਂ ਨੇ ਚੋਰੀ ਕੀਤੇ ਡੇਟਾ ਨੂੰ MP3 ਫਾਈਲ ਫਾਰਮੈਟਾਂ ਵਿੱਚ ਸਟੋਰ ਕੀਤਾ। ਇਸ ਤੋਂ ਇਲਾਵਾ, RokRAT ਡ੍ਰੌਪਬਾਕਸ, ਮਾਈਕ੍ਰੋਸਾਫਟ ਵਨਡਰਾਈਵ, ਪੀਕਲਾਉਡ, ਅਤੇ ਯਾਂਡੇਕਸ ਕਲਾਉਡ ਵਰਗੇ ਜਾਇਜ਼ ਕਲਾਉਡ ਪਲੇਟਫਾਰਮਾਂ ਰਾਹੀਂ ਡੇਟਾ ਨੂੰ ਰੂਟ ਕਰਕੇ ਆਪਣੇ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2) ਸੰਚਾਰਾਂ ਨੂੰ ਛੁਪਾਉਂਦਾ ਹੈ।
ਇੱਕ ਹਮਲੇ ਦੇ ਵੈਕਟਰ ਵਜੋਂ ਵਿਸ਼ਵਾਸ: ਸੋਸ਼ਲ ਮੀਡੀਆ ਹੇਰਾਫੇਰੀ
ਇਹ ਮੁਹਿੰਮ ਧੋਖਾਧੜੀ ਵਾਲੇ ਫੇਸਬੁੱਕ ਵਿਅਕਤੀਆਂ ਦੀ ਸਿਰਜਣਾ ਨਾਲ ਸ਼ੁਰੂ ਹੁੰਦੀ ਹੈ, ਜੋ ਕਿ ਕਥਿਤ ਤੌਰ 'ਤੇ ਪਿਓਂਗਯਾਂਗ ਅਤੇ ਪਿਓਂਗਸੋਂਗ ਵਿੱਚ ਸਥਿਤ ਹਨ। ਇਹਨਾਂ ਖਾਤਿਆਂ ਦੀ ਵਰਤੋਂ ਸੰਭਾਵੀ ਪੀੜਤਾਂ ਦੀ ਪਛਾਣ ਕਰਨ ਅਤੇ ਮੁਲਾਂਕਣ ਕਰਨ ਲਈ ਕੀਤੀ ਜਾਂਦੀ ਹੈ। ਇੱਕ ਵਾਰ ਸੰਪਰਕ ਸਥਾਪਤ ਹੋਣ ਤੋਂ ਬਾਅਦ, ਗੱਲਬਾਤ ਮੈਸੇਂਜਰ ਵਿੱਚ ਤਬਦੀਲ ਹੋ ਜਾਂਦੀ ਹੈ, ਜਿੱਥੇ ਵਿਸ਼ਵਾਸ ਅਤੇ ਸ਼ਮੂਲੀਅਤ ਨੂੰ ਡੂੰਘਾ ਕਰਨ ਲਈ ਧਿਆਨ ਨਾਲ ਚੁਣੇ ਗਏ ਵਿਸ਼ੇ ਪੇਸ਼ ਕੀਤੇ ਜਾਂਦੇ ਹਨ।
ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਰਣਨੀਤੀ ਵਰਤੀ ਜਾਂਦੀ ਹੈ, ਬਹਾਨੇ ਬਣਾ ਕੇ, ਟੀਚਿਆਂ ਨੂੰ ਇੱਕ ਵਿਸ਼ੇਸ਼ PDF ਵਿਊਅਰ ਸਥਾਪਤ ਕਰਨ ਲਈ ਮਨਾਉਣਾ, ਇਸ ਝੂਠੇ ਆਧਾਰ 'ਤੇ ਕਿ ਏਨਕ੍ਰਿਪਟਡ ਫੌਜੀ ਦਸਤਾਵੇਜ਼ਾਂ ਤੱਕ ਪਹੁੰਚ ਕਰਨ ਲਈ ਇਸਦੀ ਲੋੜ ਹੈ। ਪ੍ਰਦਾਨ ਕੀਤੀ ਗਈ ਐਪਲੀਕੇਸ਼ਨ Wondershare PDFelement ਦਾ ਇੱਕ ਸੋਧਿਆ ਹੋਇਆ ਸੰਸਕਰਣ ਹੈ, ਜੋ ਕਿ ਖਤਰਨਾਕ ਸ਼ੈੱਲਕੋਡ ਨਾਲ ਏਮਬੇਡ ਕੀਤੀ ਗਈ ਹੈ। ਲਾਗੂ ਹੋਣ 'ਤੇ, ਇਹ ਇੰਸਟਾਲਰ ਹਮਲਾਵਰਾਂ ਨੂੰ ਸ਼ੁਰੂਆਤੀ ਸਿਸਟਮ ਪਹੁੰਚ ਦੇ ਕੇ ਸਮਝੌਤਾ ਸ਼ੁਰੂ ਕਰਦਾ ਹੈ।
ਪਰਤ ਵਾਲਾ ਧੋਖਾ: ਉੱਨਤ ਡਿਲੀਵਰੀ ਅਤੇ ਚੋਰੀ ਦੀਆਂ ਤਕਨੀਕਾਂ
ਹਮਲੇ ਦੀ ਲੜੀ ਕਈ ਚੋਰੀ ਦੀਆਂ ਰਣਨੀਤੀਆਂ ਦੇ ਸੁਮੇਲ ਰਾਹੀਂ ਉੱਚ ਪੱਧਰੀ ਸੂਝ-ਬੂਝ ਦਰਸਾਉਂਦੀ ਹੈ:
- ਸ਼ੱਕ ਨੂੰ ਦੂਰ ਕਰਨ ਲਈ ਟ੍ਰੋਜਨਾਈਜ਼ਡ ਜਾਇਜ਼ ਸਾਫਟਵੇਅਰ ਦੀ ਵਰਤੋਂ
- C2 ਕਾਰਜਾਂ ਲਈ ਸਮਝੌਤਾ ਕੀਤੇ ਪਰ ਭਰੋਸੇਮੰਦ ਵੈੱਬ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਦਾ ਸ਼ੋਸ਼ਣ
- ਖਤਰਨਾਕ ਪੇਲੋਡਾਂ ਨੂੰ JPG ਚਿੱਤਰਾਂ ਵਰਗੀਆਂ ਸਾਧਾਰਨ ਫਾਈਲਾਂ ਵਜੋਂ ਛੁਪਾਉਣਾ
ਖਾਸ ਤੌਰ 'ਤੇ, ਹਮਲਾਵਰਾਂ ਨੇ ਕਮਾਂਡਾਂ ਅਤੇ ਪੇਲੋਡ ਵੰਡਣ ਲਈ ਇੱਕ ਜਾਪਾਨੀ ਰੀਅਲ ਅਸਟੇਟ ਸੇਵਾ ਦੀ ਸਿਓਲ ਸ਼ਾਖਾ ਨਾਲ ਜੁੜੀ ਇੱਕ ਸਮਝੌਤਾ ਕੀਤੀ ਵੈਬਸਾਈਟ ਦਾ ਲਾਭ ਉਠਾਇਆ। ਦੂਜੇ-ਪੜਾਅ ਦਾ ਪੇਲੋਡ ਇੱਕ ਨਿਰਦੋਸ਼ ਚਿੱਤਰ ਫਾਈਲ ਦੇ ਰੂਪ ਵਿੱਚ ਦਿਖਾਈ ਦਿੰਦਾ ਹੈ, ਜੋ ਅੰਤਮ RokRAT ਤੈਨਾਤੀ ਨੂੰ ਛੁਪਾਉਂਦਾ ਹੈ।
ਬਹੁ-ਪੜਾਵੀ ਐਗਜ਼ੀਕਿਊਸ਼ਨ: ਸਮਾਜਿਕ ਸੰਪਰਕ ਤੋਂ ਲੈ ਕੇ ਸੰਪੂਰਨ ਸਮਝੌਤਾ ਤੱਕ
ਹਮਲੇ ਦਾ ਕ੍ਰਮ ਕਈ ਤਾਲਮੇਲ ਵਾਲੇ ਪੜਾਵਾਂ ਵਿੱਚੋਂ ਲੰਘਦਾ ਹੈ। ਧਮਕੀ ਦੇਣ ਵਾਲਿਆਂ ਨੇ 10 ਨਵੰਬਰ, 2025 ਨੂੰ 'richardmichael0828' ਅਤੇ 'johnsonsophia0414' ਨਾਮਕ ਫੇਸਬੁੱਕ ਖਾਤੇ ਬਣਾਏ। ਸਬੰਧ ਸਥਾਪਤ ਕਰਨ ਤੋਂ ਬਾਅਦ, ਸੰਚਾਰ ਨੂੰ ਟੈਲੀਗ੍ਰਾਮ 'ਤੇ ਰੀਡਾਇਰੈਕਟ ਕੀਤਾ ਜਾਂਦਾ ਹੈ, ਜਿੱਥੇ ਪੀੜਤਾਂ ਨੂੰ ਇੱਕ ZIP ਆਰਕਾਈਵ ਪ੍ਰਾਪਤ ਹੁੰਦਾ ਹੈ ਜਿਸ ਵਿੱਚ ਖਤਰਨਾਕ PDF ਵਿਊਅਰ, ਨਕਲੀ ਦਸਤਾਵੇਜ਼ ਅਤੇ ਇੰਸਟਾਲੇਸ਼ਨ ਨਿਰਦੇਸ਼ ਹੁੰਦੇ ਹਨ।
ਸਮਝੌਤਾ ਕੀਤੇ ਇੰਸਟਾਲਰ ਨੂੰ ਲਾਗੂ ਕਰਨ ਨਾਲ ਏਨਕ੍ਰਿਪਟਡ ਸ਼ੈੱਲਕੋਡ ਚਾਲੂ ਹੁੰਦਾ ਹੈ, ਜੋ ਇੱਕ C2 ਡੋਮੇਨ ਨਾਲ ਜੁੜਦਾ ਹੈ ਅਤੇ ਇੱਕ JPG ਚਿੱਤਰ ਫਾਈਲ ਦੇ ਰੂਪ ਵਿੱਚ ਭੇਸ ਵਿੱਚ ਇੱਕ ਸੈਕੰਡਰੀ ਪੇਲੋਡ ਪ੍ਰਾਪਤ ਕਰਦਾ ਹੈ। ਇਹ ਫਾਈਲ ਅੰਤ ਵਿੱਚ ਪੂਰਾ RokRAT ਮਾਲਵੇਅਰ ਪ੍ਰਦਾਨ ਕਰਦੀ ਹੈ।
ਕਲਾਉਡ-ਅਧਾਰਿਤ ਕਮਾਂਡ ਅਤੇ ਨਿਯੰਤਰਣ: ਜਾਇਜ਼ ਟ੍ਰੈਫਿਕ ਵਿੱਚ ਮਿਲਾਉਣਾ
RokRAT ਆਪਣੇ C2 ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਦੇ ਹਿੱਸੇ ਵਜੋਂ Zoho WorkDrive ਦੀ ਦੁਰਵਰਤੋਂ ਕਰਕੇ ਆਪਣੀ ਚੋਰੀ ਨੂੰ ਹੋਰ ਵਧਾਉਂਦਾ ਹੈ, ਇਹ ਇੱਕ ਤਰੀਕਾ ਹੈ ਜੋ 2026 ਦੇ ਸ਼ੁਰੂ ਵਿੱਚ ਪਛਾਣੇ ਗਏ 'ਰੂਬੀ ਜੰਪਰ' ਮੁਹਿੰਮ ਵਿੱਚ ਵੀ ਦੇਖਿਆ ਗਿਆ ਸੀ। ਇਸ ਪਹੁੰਚ ਰਾਹੀਂ, ਮਾਲਵੇਅਰ ਸਕ੍ਰੀਨਸ਼ੌਟ ਕੈਪਚਰ, ਸਿਸਟਮ ਸ਼ੈੱਲਾਂ ਰਾਹੀਂ ਰਿਮੋਟ ਕਮਾਂਡ ਐਗਜ਼ੀਕਿਊਸ਼ਨ, ਹੋਸਟ ਡੇਟਾ ਇਕੱਠਾ ਕਰਨ ਅਤੇ ਸੁਰੱਖਿਆ ਚੋਰੀ ਵਰਗੇ ਕਾਰਜ ਕਰਦਾ ਹੈ।
ਰਣਨੀਤਕ ਫੋਕਸ: ਕਾਰਜ ਵਿੱਚ ਸਥਿਰਤਾ, ਡਿਲੀਵਰੀ ਵਿੱਚ ਨਵੀਨਤਾ
ਜਦੋਂ ਕਿ RokRAT ਦੀਆਂ ਮੁੱਖ ਸਮਰੱਥਾਵਾਂ ਸਾਰੇ ਕਾਰਜਾਂ ਵਿੱਚ ਵੱਡੇ ਪੱਧਰ 'ਤੇ ਇਕਸਾਰ ਰਹੀਆਂ ਹਨ, ਇਸਦੇ ਡਿਲੀਵਰੀ ਵਿਧੀਆਂ ਅਤੇ ਚੋਰੀ ਦੀਆਂ ਰਣਨੀਤੀਆਂ ਵਿਕਸਤ ਹੁੰਦੀਆਂ ਰਹਿੰਦੀਆਂ ਹਨ। ਇਹ ਰਣਨੀਤਕ ਜ਼ੋਰ ਮਾਲਵੇਅਰ ਦੀ ਬੁਨਿਆਦੀ ਕਾਰਜਕੁਸ਼ਲਤਾ ਨੂੰ ਬਦਲਣ ਦੀ ਬਜਾਏ ਇਨਫੈਕਸ਼ਨ ਵੈਕਟਰਾਂ ਅਤੇ ਸਟੀਲਥ ਤਕਨੀਕਾਂ ਨੂੰ ਬਿਹਤਰ ਬਣਾਉਣ 'ਤੇ ਜਾਣਬੁੱਝ ਕੇ ਧਿਆਨ ਕੇਂਦਰਿਤ ਕਰਨ ਨੂੰ ਦਰਸਾਉਂਦਾ ਹੈ।
