Multilicenčná zľavová ponuka
Databáza hrozieb Zadné vrátka Škodlivý softvér RokRAT

Škodlivý softvér RokRAT

Do roku Mezo v roku Zadné vrátka, Pokročilá perzistentná hrozba (APT)
Preložiť do:

Severokórejská skupina kybernetických útokov APT37 (známa aj ako ScarCruft) bola prepojená so sofistikovanou viacstupňovou kybernetickou kampaňou využívajúcou sociálne inžinierstvo prostredníctvom Facebooku. Útočníci nadväzujú kontakt zasielaním žiadostí o priateľstvo, postupne si budujú dôveru a potom premieňajú interakciu na kanál na doručovanie malvéru. Táto premyslená manipulácia nakoniec umožňuje nasadenie trójskeho koňa RokRAT pre vzdialený prístup.

Zbraň podľa vlastného výberu: Evolúcia RokRAT

RokRAT zostáva primárnym malvérom používaným skupinou a časom sa výrazne vyvinul s adaptáciami pre platformy ako macOS a Android. Jeho neustály vývoj zdôrazňuje trvalé prevádzkové investície.

Škodlivý softvér je schopný vykonávať široké spektrum škodlivých aktivít vrátane:

  • Zber poverení a únik citlivých údajov
  • Zachytávanie snímok obrazovky a prieskum systému
  • Vykonávanie príkazov a shellcode
  • Manipulácia so súbormi a adresármi

Aby sa zakryli jeho operácie, staršie varianty ukladali ukradnuté údaje vo formáte súborov MP3. RokRAT navyše maskuje svoju komunikáciu velenia a riadenia (C2) smerovaním údajov cez legitímne cloudové platformy, ako sú Dropbox, Microsoft OneDrive, pCloud a Yandex Cloud.

Dôvera ako vektor útoku: Manipulácia na sociálnych sieťach

Kampaň začína vytvorením podvodných profilov na Facebooku, údajne so sídlom v Pchjongjangu a Pchjongsongu. Tieto účty sa používajú na identifikáciu a posúdenie potenciálnych obetí. Po nadviazaní spojenia sa konverzácie presúvajú do Messengeru, kde sa predstavujú starostlivo vybrané témy s cieľom prehĺbiť dôveru a angažovanosť.

Kritickou taktikou je presviedčanie cieľov, aby si nainštalovali špecializovaný prehliadač PDF pod falošným predpokladom, že je potrebný na prístup k šifrovaným vojenským dokumentom. Poskytnutá aplikácia je upravená verzia Wondershare PDFelement, do ktorej je vložený škodlivý shellcode. Po spustení tento inštalátor iniciuje kompromitáciu tým, že útočníkom poskytne počiatočný prístup k systému.

Vrstvený podvod: Pokročilé techniky doručovania a úniku

Útočný reťazec vykazuje vysoký stupeň sofistikovanosti prostredníctvom kombinácie viacerých stratégií úniku:

  • Používanie legitímneho softvéru s trójskymi koňmi na obídenie podozrenia
  • Zneužívanie kompromitovanej, ale dôveryhodnej webovej infraštruktúry pre operácie C2
  • Maskovanie škodlivých dát ako neškodných súborov, ako sú obrázky JPG

Je pozoruhodné, že útočníci využili napadnutú webovú stránku prepojenú so soulskou pobočkou japonskej realitnej služby na distribúciu príkazov a dát. Dáta druhej fázy sa zobrazujú ako neškodný obrazový súbor, ktorý zakrýva finálne nasadenie RokRAT.

Viacstupňová realizácia: od sociálneho kontaktu až po úplný kompromis

Útočná sekvencia postupuje cez niekoľko koordinovaných fáz. Páchatelia si 10. novembra 2025 vytvorili účty na Facebooku s názvami „richardmichael0828“ a „johnsonsophia0414“. Po nadviazaní kontaktu je komunikácia presmerovaná do Telegramu, kde obete dostanú ZIP archív obsahujúci škodlivý prehliadač PDF súborov, návnadové dokumenty a pokyny na inštaláciu.

Spustenie napadnutého inštalátora spustí zašifrovaný shellcode, ktorý sa pripojí k doméne C2 a načíta sekundárne užitočné zaťaženie maskované ako obrázkový súbor JPG. Tento súbor nakoniec doručí kompletný malvér RokRAT.

Cloudové velenie a riadenie: Splynutie s legitímnou prevádzkou

RokRAT ďalej zvyšuje svoju utajenosť zneužívaním Zoho WorkDrive ako súčasti svojej infraštruktúry C2, čo je metóda pozorovaná aj v kampani „Ruby Jumper“ identifikovanej začiatkom roka 2026. Prostredníctvom tohto prístupu malvér vykonáva funkcie, ako je snímanie obrazovky, vykonávanie vzdialených príkazov prostredníctvom systémových shellov, zhromažďovanie údajov o hostiteľovi a obchádzanie bezpečnostných opatrení.

Strategické zameranie: Stabilita fungovania, inovácie v poskytovaní služieb

Zatiaľ čo základné schopnosti spoločnosti RokRAT zostali vo všetkých operáciách do značnej miery konzistentné, jej mechanizmy doručovania a taktiky obchádzania sa neustále vyvíjajú. Tento strategický dôraz demonštruje zámerné zameranie na zlepšenie vektorov infekcie a techník stealth, a nie na zmenu základnej funkčnosti malvéru.

Trendy

Vyžaduje sa overenie zabezpečenia pri podvode s...

Phishing, Spam
Pre zachovanie online bezpečnosti je nevyhnutná opatrnosť pri riešení neočakávaných e-mailov. Kyberzločinci často maskujú škodlivé správy ako legitímnu komunikáciu, aby zneužili dôveru a naliehavosť. Takzvaný e-mailový podvod s názvom „Vyžaduje sa bezpečnostné overenie“ je ukážkovým príkladom tejto taktiky. Tieto e-maily nie sú spojené so žiadnymi legitímnymi spoločnosťami, organizáciami ani...

Najviac videné

Načítava...