Popust za več licenc
Podjetje o grožnjah Zadnja vrata Zlonamerna programska oprema RokRAT

Zlonamerna programska oprema RokRAT

Do leta Mezo leta Zadnja vrata, Napredna trajna grožnja (APT)
Prevedi v:

Severnokorejska skupina za grožnje APT37 (znana tudi kot ScarCruft) je bila povezana s prefinjeno, večstopenjsko kibernetsko kampanjo, ki izkorišča socialni inženiring prek Facebooka. Napadalci vzpostavijo stik s pošiljanjem prošenj za prijateljstvo, postopoma gradijo zaupanje, preden interakcijo spremenijo v kanal za dostavo zlonamerne programske opreme. Ta premišljena manipulacija na koncu omogoči namestitev trojanca RokRAT za oddaljeni dostop.

Orožje izbire: Razvoj RokRAT-a

RokRAT ostaja glavna zlonamerna programska oprema, ki jo uporablja skupina, in se je sčasoma znatno razvila, s prilagoditvami za platforme, kot sta macOS in Android. Njen nenehni razvoj poudarja trajnostne operativne naložbe.

Zlonamerna programska oprema je sposobna izvajati širok spekter zlonamernih dejavnosti, vključno z:

  • Pridobivanje poverilnic in izkrcanje občutljivih podatkov
  • Zajem zaslona in izvidovanje sistema
  • Izvajanje ukazov in shellcode
  • Manipulacija datotek in imenikov

Da bi prikrili svoje delovanje, so prejšnje različice shranjevale ukradene podatke v formatih datotek MP3. Poleg tega RokRAT prikriva svojo komunikacijo poveljevanja in nadzora (C2) tako, da usmerja podatke prek legitimnih platform v oblaku, kot so Dropbox, Microsoft OneDrive, pCloud in Yandex Cloud.

Zaupanje kot vektor napada: Manipulacija družbenih medijev

Kampanja se začne z ustvarjanjem goljufivih Facebook profilov, ki naj bi bili s sedežem v Pjongjangu in Pjongsongu. Ti računi se uporabljajo za identifikacijo in oceno potencialnih žrtev. Ko je vzpostavljena povezava, se pogovori prenesejo v Messenger, kjer se predstavijo skrbno izbrane teme za poglobitev zaupanja in sodelovanja.

Ključna taktika, ki se uporablja, je pretveza, s katero se tarče prepričajo, da namestijo specializiran pregledovalnik PDF-jev pod lažno predpostavko, da je potreben za dostop do šifriranih vojaških dokumentov. Ponujena aplikacija je spremenjena različica Wondershare PDFelement, v katero je vdelana zlonamerna shellcode. Po zagonu ta namestitveni program sproži vdor tako, da napadalcem odobri začetni dostop do sistema.

Večplastna prevara: napredne tehnike dostave in izogibanja

Veriga napadov kaže visoko stopnjo prefinjenosti s kombinacijo več strategij izogibanja:

  • Uporaba trojanske legitimne programske opreme za izogibanje sumu
  • Izkoriščanje ogrožene, a zaupanja vredne spletne infrastrukture za operacije C2
  • Prikrivanje zlonamernih koristnih vsebin v neškodljive datoteke, kot so slike JPG

Omeniti velja, da so napadalci za distribucijo ukazov in koristnih podatkov izkoristili ogroženo spletno mesto, povezano s seulsko podružnico japonske nepremičninske agencije. Koristni podatki druge stopnje so videti kot neškodljiva slikovna datoteka, ki prikriva končno namestitev RokRAT-a.

Večstopenjska izvedba: od socialnega stika do popolnega kompromisa

Zaporedje napadov poteka skozi več usklajenih faz. Storilci groženj so 10. novembra 2025 ustvarili Facebook računa z imeni »richardmichael0828« in »johnsonsophia0414«. Po vzpostavitvi stika se komunikacija preusmeri na Telegram, kjer žrtve prejmejo ZIP arhiv, ki vsebuje zlonamerni pregledovalnik PDF-jev, vabljive dokumente in navodila za namestitev.

Izvajanje ogroženega namestitvenega programa sproži šifrirano shellcode, ki se poveže z domeno C2 in pridobi sekundarni koristni tovor, prikrit kot slikovno datoteko JPG. Ta datoteka na koncu dostavi celotno zlonamerno programsko opremo RokRAT.

Upravljanje in nadzor v oblaku: Združevanje z legitimnim prometom

RokRAT svojo prikritost še dodatno izboljša z zlorabo Zoho WorkDrive kot dela svoje infrastrukture C2, kar je metoda, opažena tudi v kampanji »Ruby Jumper«, odkriti v začetku leta 2026. S tem pristopom zlonamerna programska oprema izvaja funkcije, kot so zajem posnetkov zaslona, oddaljeno izvajanje ukazov prek sistemskih lupin, zbiranje podatkov gostitelja in izogibanje varnosti.

Strateški fokus: Stabilnost delovanja, inovacije pri izvajanju

Čeprav so osnovne zmogljivosti RokRAT-a ostale v veliki meri enake v vseh operacijah, se njegovi mehanizmi dostave in taktike izogibanja še naprej razvijajo. Ta strateški poudarek kaže na namerno osredotočenost na izboljšanje vektorjev okužb in tehnik prikrivanja, namesto na spreminjanje temeljne funkcionalnosti zlonamerne programske opreme.

V trendu

Zahtevano varnostno preverjanje Prevara po e-pošti

Lažno predstavljanje, Neželena pošta
Previdnost pri ravnanju z nepričakovanimi e-poštnimi sporočili je bistvenega pomena za ohranjanje spletne varnosti. Kibernetski kriminalci pogosto prikrivajo zlonamerna sporočila kot legitimna sporočila, da bi izkoristili zaupanje in nujnost. Tako imenovana e-poštna prevara »Zahteva se varnostno preverjanje« je odličen primer te taktike. Ta e-poštna sporočila kljub prepričljivemu videzu niso...

Najbolj gledan

Nalaganje...