Вредоносная программа RokRAT
Северокорейская кибергруппировка APT37 (также известная как ScarCruft) связана со сложной многоэтапной киберкампанией, использующей методы социальной инженерии через Facebook. Злоумышленники инициируют контакт, отправляя запросы на добавление в друзья, постепенно завоевывая доверие, прежде чем превратить взаимодействие в канал доставки вредоносного ПО. Эта тщательно спланированная манипуляция в конечном итоге позволяет развернуть троян удаленного доступа RokRAT.
Оглавление
Излюбленное оружие: Эволюция RokRAT
RokRAT остается основным вредоносным ПО, используемым группировкой, и со временем значительно эволюционировал, получив адаптации для таких платформ, как macOS и Android. Его постоянное развитие свидетельствует о стабильных оперативных инвестициях.
Вредоносная программа способна выполнять широкий спектр противоправных действий, включая:
- Сбор учетных данных и утечка конфиденциальной информации.
- Создание скриншотов и разведка системы
- Выполнение команд и шелл-кода
- Работа с файлами и каталогами.
Чтобы скрыть свою деятельность, более ранние варианты хранили украденные данные в формате MP3-файлов. Кроме того, RokRAT маскирует свои коммуникации управления и контроля (C2), перенаправляя данные через легитимные облачные платформы, такие как Dropbox, Microsoft OneDrive, pCloud и Yandex Cloud.
Доверие как вектор атаки: манипуляция в социальных сетях.
Кампания начинается с создания мошеннических аккаунтов в Facebook, якобы находящихся в Пхеньяне и Пхёнсоне. Эти аккаунты используются для выявления и оценки потенциальных жертв. После установления контакта общение переходит в Messenger, где затрагиваются тщательно отобранные темы для укрепления доверия и вовлеченности.
Ключевой тактикой является использование обманного предлога, когда жертву убеждают установить специализированную программу для просмотра PDF-файлов под ложным предлогом, что она необходима для доступа к зашифрованным военным документам. Предоставляемое приложение представляет собой модифицированную версию Wondershare PDFelement, содержащую вредоносный шеллкод. После запуска этот установщик инициирует взлом, предоставляя злоумышленникам первоначальный доступ к системе.
Многоуровневый обман: передовые методы доставки и уклонения от ответственности.
Цепочка атак демонстрирует высокую степень сложности за счет сочетания множества стратегий обхода защиты:
- Использование зашифрованного легитимного программного обеспечения для обхода подозрений.
- Использование уязвимой, но заслуживающей доверия веб-инфраструктуры для операций управления и контроля.
- Маскировка вредоносных программ под безобидные файлы, например, изображения в формате JPG.
Примечательно, что злоумышленники использовали взломанный веб-сайт, связанный с сеульским филиалом японской компании по недвижимости, для распространения команд и полезных нагрузок. Полезная нагрузка второго этапа выглядит как безобидный файл изображения, скрывающий финальную версию RokRAT.
Многоэтапное исполнение: от социального контакта до полного компромисса
Последовательность атаки проходит через несколько скоординированных этапов. 10 ноября 2025 года злоумышленники создали учетные записи в Facebook под именами «richardmichael0828» и «johnsonsophia0414». После установления контакта связь перенаправляется в Telegram, где жертвы получают ZIP-архив, содержащий вредоносную программу для просмотра PDF-файлов, поддельные документы и инструкции по установке.
Запуск скомпрометированного установщика запускает зашифрованный шеллкод, который подключается к домену управления и контроля и извлекает дополнительную полезную нагрузку, замаскированную под файл изображения JPG. Этот файл в конечном итоге распространяет полную версию вредоносного ПО RokRAT.
Управление и контроль на основе облачных технологий: незаметное внедрение в легитимный трафик.
RokRAT дополнительно повышает свою скрытность, используя Zoho WorkDrive в качестве части своей инфраструктуры управления и контроля (C2), — метод, также наблюдавшийся в кампании «Ruby Jumper», выявленной в начале 2026 года. С помощью этого подхода вредоносная программа выполняет такие функции, как захват скриншотов, удаленное выполнение команд через системные оболочки, сбор данных с хоста и обход системы безопасности.
Стратегический фокус: стабильность в функционировании, инновации в предоставлении услуг.
Хотя основные возможности RokRAT в целом оставались неизменными на протяжении всех операций, механизмы его доставки и тактика обхода продолжают развиваться. Этот стратегический акцент демонстрирует целенаправленное стремление к улучшению векторов заражения и методов скрытности, а не к изменению базовой функциональности вредоносного ПО.
