Oferta rabatowa na wiele licencji
Baza danych zagrożeń Tylne drzwi Oprogramowanie złośliwe RokRAT

Oprogramowanie złośliwe RokRAT

Do Mezo w Tylne drzwi, Zaawansowane trwałe zagrożenie (APT)
Przetłumacz na:

Północnokoreańska grupa terrorystyczna APT37 (znana również jako ScarCruft) została powiązana z wyrafinowaną, wieloetapową kampanią cybernetyczną wykorzystującą socjotechnikę za pośrednictwem Facebooka. Atakujący inicjują kontakt, wysyłając prośby o dodanie do znajomych, stopniowo budując zaufanie, a następnie przekształcając interakcję w kanał dystrybucji złośliwego oprogramowania. Ta przemyślana manipulacja ostatecznie umożliwia wdrożenie trojana zdalnego dostępu RokRAT.

Broń wyboru: Ewolucja RokRAT

RokRAT pozostaje głównym złośliwym oprogramowaniem używanym przez grupę i z biegiem czasu znacząco ewoluował, dostosowując się do platform takich jak macOS i Android. Jego ciągły rozwój świadczy o stałych inwestycjach operacyjnych.

Szkodliwe oprogramowanie jest zdolne do wykonywania szerokiego spektrum złośliwych działań, w tym:

  • Zbieranie danych uwierzytelniających i eksfiltracja poufnych danych
  • Zrzut ekranu i rozpoznanie systemu
  • Wykonywanie poleceń i kodu powłoki
  • Manipulowanie plikami i katalogami

Aby ukryć swoje działanie, wcześniejsze wersje systemu przechowywały skradzione dane w plikach MP3. Dodatkowo RokRAT maskuje komunikację typu command-and-control (C2), kierując dane przez legalne platformy chmurowe, takie jak Dropbox, Microsoft OneDrive, pCloud i Yandex Cloud.

Zaufanie jako wektor ataku: Manipulacja w mediach społecznościowych

Kampania rozpoczyna się od stworzenia fałszywych profili na Facebooku, rzekomo zlokalizowanych w Pjongjangu i Pjongsongu. Konta te służą do identyfikacji i oceny potencjalnych ofiar. Po nawiązaniu kontaktu rozmowy przenoszą się na Messengera, gdzie poruszane są starannie dobrane tematy, mające na celu pogłębienie zaufania i zaangażowania.

Krytyczną taktyką jest nakłonienie ofiar do zainstalowania specjalistycznej przeglądarki PDF pod fałszywym pretekstem, że jest ona niezbędna do uzyskania dostępu do zaszyfrowanych dokumentów wojskowych. Dostarczona aplikacja to zmodyfikowana wersja Wondershare PDFelement, osadzona w złośliwym kodzie powłoki. Po uruchomieniu instalator inicjuje atak, udzielając atakującym wstępnego dostępu do systemu.

Oszustwo wielowarstwowe: zaawansowane techniki przekazywania i unikania oszustw

Łańcuch ataku charakteryzuje się wysokim stopniem wyrafinowania dzięki połączeniu wielu strategii unikania:

  • Wykorzystanie trojanizowanego, legalnego oprogramowania w celu uniknięcia podejrzeń
  • Wykorzystanie zagrożonej, ale zaufanej infrastruktury internetowej do operacji C2
  • Maskowanie złośliwych ładunków pod postacią nieszkodliwych plików, takich jak obrazy JPG

Co ciekawe, atakujący wykorzystali zainfekowaną stronę internetową powiązaną z oddziałem japońskiego serwisu nieruchomości w Seulu do dystrybucji poleceń i ładunków. Ładunek drugiego etapu pojawia się jako nieszkodliwy plik obrazu, ukrywając ostateczne wdrożenie RokRAT.

Wieloetapowe wykonanie: od kontaktu społecznego do pełnego kompromisu

Sekwencja ataku przebiega przez kilka skoordynowanych etapów. 10 listopada 2025 roku atakujący utworzyli konta na Facebooku o nazwach „richardmichael0828” i „johnsonsophia0414”. Po nawiązaniu kontaktu, komunikacja jest przekierowywana do Telegrama, gdzie ofiary otrzymują archiwum ZIP zawierające złośliwą przeglądarkę PDF, dokumenty-przynęty oraz instrukcje instalacji.

Uruchomienie zainfekowanego instalatora uruchamia zaszyfrowany kod powłoki, który łączy się z domeną C2 i pobiera dodatkowy ładunek ukryty pod postacią pliku obrazu JPG. Ten plik ostatecznie dostarcza pełną wersję złośliwego oprogramowania RokRAT.

Dowodzenie i kontrola w chmurze: włączanie do legalnego ruchu

RokRAT jeszcze bardziej zwiększa swoją anonimowość, wykorzystując Zoho WorkDrive jako część infrastruktury C2. Tę samą metodę zaobserwowano również w kampanii „Ruby Jumper” zidentyfikowanej na początku 2026 roku. Dzięki temu podejściu złośliwe oprogramowanie wykonuje takie funkcje, jak przechwytywanie zrzutów ekranu, zdalne wykonywanie poleceń za pośrednictwem powłok systemowych, zbieranie danych hosta i omijanie zabezpieczeń.

Strategiczny nacisk: stabilność funkcji, innowacyjność w realizacji

Chociaż podstawowe możliwości RokRAT pozostały w dużej mierze spójne we wszystkich operacjach, jego mechanizmy dystrybucji i taktyki unikania zagrożeń stale ewoluują. Ten strategiczny nacisk świadczy o świadomym skupieniu się na ulepszaniu wektorów infekcji i technik ukrywania się, a nie na zmianie podstawowej funkcjonalności złośliwego oprogramowania.

Popularne

Oszustwo e-mailowe wymagające weryfikacji...

Phishing, Spam
Zachowanie ostrożności w przypadku nieoczekiwanych wiadomości e-mail jest niezbędne dla zachowania bezpieczeństwa w sieci. Cyberprzestępcy często maskują złośliwe wiadomości pod legalną komunikacją, aby wykorzystać zaufanie i poczucie pilności. Oszustwo e-mailowe z tzw. „wymaganą weryfikacją bezpieczeństwa” jest doskonałym przykładem tej taktyki. Te wiadomości e-mail, pomimo ich przekonującego...

Najczęściej oglądane

Ładowanie...