Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Dyer të pasme RokRAT Malware

RokRAT Malware

Nga MezoDyer të pasme, Kërcënimi i avancuar i vazhdueshëm (APT)
Përkthe në:

Grupi i kërcënimeve të Koresë së Veriut APT37 (i njohur edhe si ScarCruft) është lidhur me një fushatë kibernetike të sofistikuar dhe shumëfazore që përdor inxhinierinë sociale përmes Facebook-ut. Sulmuesit fillojnë kontaktin duke dërguar kërkesa për miqësi, duke ndërtuar gradualisht besimin përpara se ta transformojnë ndërveprimin në një kanal shpërndarjeje të malware-it. Ky manipulim i llogaritur në fund të fundit mundëson vendosjen e trojanit me akses në distancë RokRAT.

Arma e Zgjedhur: Evolucioni i RokRAT

RokRAT mbetet malware-i kryesor i përdorur nga grupi dhe ka evoluar ndjeshëm me kalimin e kohës, me përshtatje për platforma të tilla si macOS dhe Android. Zhvillimi i tij i vazhdueshëm nxjerr në pah investime të qëndrueshme operative.

Malware është i aftë të kryejë një spektër të gjerë aktivitetesh dashakeqe, duke përfshirë:

  • Mbledhja e kredencialeve dhe nxjerrja e të dhënave të ndjeshme
  • Kapja e ekranit të ekranit dhe zbulimi i sistemit
  • Ekzekutimi i komandave dhe shellcode
  • Manipulimi i skedarëve dhe direktorive

Për të fshehur operacionet e saj, variantet e mëparshme ruanin të dhëna të vjedhura në formate skedarësh MP3. Përveç kësaj, RokRAT maskon komunikimet e saj të komandës dhe kontrollit (C2) duke i drejtuar të dhënat përmes platformave legjitime të cloud-it si Dropbox, Microsoft OneDrive, pCloud dhe Yandex Cloud.

Besimi si një Vektor Sulmi: Manipulimi i Mediave Sociale

Fushata fillon me krijimin e personazheve mashtruese në Facebook, të cilat thuhet se janë të vendosura në Phenian dhe Pyongsong. Këto llogari përdoren për të identifikuar dhe vlerësuar viktimat e mundshme. Pasi të krijohet një lidhje, bisedat kalojnë në Messenger, ku prezantohen tema të zgjedhura me kujdes për të thelluar besimin dhe angazhimin.

Një taktikë kritike e përdorur është preteksti, bindja e objektivave për të instaluar një shikues të specializuar PDF nën premisën e rreme se është i nevojshëm për të aksesuar dokumentet ushtarake të koduara. Aplikacioni i ofruar është një version i modifikuar i Wondershare PDFelement, i integruar me shellcode keqdashës. Pas ekzekutimit, ky instalues fillon kompromentimin duke u dhënë sulmuesve akses fillestar në sistem.

Mashtrim i Shtresuar: Teknika të Avancuara të Dorëzimit dhe Shmangies

Zinxhiri i sulmit demonstron një shkallë të lartë sofistikimi përmes kombinimit të strategjive të shumëfishta të shmangies:

  • Përdorimi i softuerit legjitim të trojanizuar për të anashkaluar dyshimet
  • Shfrytëzimi i infrastrukturës së kompromentuar por të besueshme të internetit për operacionet C2
  • Maskimi i ngarkesave të dëmshme si skedarë të mirë, siç janë imazhet JPG

Veçanërisht, sulmuesit përdorën një faqe interneti të kompromentuar të lidhur me degën e Seulit të një shërbimi japonez të pasurive të paluajtshme për të shpërndarë komanda dhe ngarkesa. Ngarkesa e fazës së dytë shfaqet si një skedar imazhi i padëmshëm, duke fshehur vendosjen përfundimtare të RokRAT.

Ekzekutim me shumë faza: Nga kontakti social në kompromis të plotë

Sekuenca e sulmit përparon nëpër disa faza të koordinuara. Aktorët kërcënues krijuan llogari në Facebook me emrin 'richardmichael0828' dhe 'johnsonsophia0414' më 10 nëntor 2025. Pas vendosjes së raportit, komunikimi ridrejtohet në Telegram, ku viktimat marrin një arkiv ZIP që përmban shikuesin PDF keqdashës, dokumentet mashtruese dhe udhëzimet e instalimit.

Ekzekutimi i instaluesit të kompromentuar shkakton kodin shell të enkriptuar, i cili lidhet me një domen C2 dhe merr një ngarkesë dytësore të maskuar si një skedar imazhi JPG. Ky skedar në fund të fundit sjell të gjithë malware-in RokRAT.

Komanda dhe Kontrolli i Bazuar në Cloud: Përzierja në Trafik Legjitim

RokRAT e përmirëson më tej fshehtësinë e tij duke abuzuar me Zoho WorkDrive si pjesë të infrastrukturës së tij C2, një metodë e vërejtur edhe në fushatën 'Ruby Jumper' të identifikuar në fillim të vitit 2026. Përmes kësaj qasjeje, malware kryen funksione të tilla si kapja e pamjeve të ekranit, ekzekutimi i komandave në distancë nëpërmjet shell-eve të sistemit, mbledhja e të dhënave të hostit dhe shmangia e sigurisë.

Fokusi Strategjik: Stabilitet në Funksion, Inovacion në Ofrim

Ndërsa aftësitë kryesore të RokRAT kanë mbetur kryesisht të qëndrueshme në të gjitha operacionet, mekanizmat e tij të shpërndarjes dhe taktikat e shmangies vazhdojnë të evoluojnë. Ky theks strategjik tregon një fokus të qëllimshëm në përmirësimin e vektorëve të infeksionit dhe teknikave të fshehtësisë në vend të ndryshimit të funksionalitetit themelor të malware-it.

Postime të ngjashme

Në trend

Mashtrimi me email i kërkuar për verifikim sigurie

Fishing, Spam
Të qëndrosh i kujdesshëm kur merresh me email-e të papritura është thelbësore për ruajtjen e sigurisë në internet. Kriminelët kibernetikë shpesh i maskojnë mesazhet keqdashëse si komunikime legjitime për të shfrytëzuar besimin dhe urgjencën. Mashtrimi me email i ashtuquajtur 'Kërkohet Verifikim Sigurie' është një shembull kryesor i kësaj taktike. Këto email-e nuk janë të lidhura me asnjë...

Më e shikuara

Po ngarkohet...