Rabattoffert för flera licenser
Hotdatabas Bakdörrar RokRAT-skadlig kod

RokRAT-skadlig kod

Med Mezo år Bakdörrar, Advanced Persistent Threat (APT)
Översätt till:

Den nordkoreanska hotgruppen APT37 (även känd som ScarCruft) har kopplats till en sofistikerad cyberkampanj i flera steg som utnyttjar social manipulation via Facebook. Angripare initierar kontakt genom att skicka vänförfrågningar och bygger gradvis upp förtroende innan de omvandlar interaktionen till en leveranskanal för skadlig kod. Denna kalkylerade manipulation möjliggör slutligen utplaceringen av fjärråtkomsttrojanen RokRAT.

Valfritt vapen: RokRAT:s utveckling

RokRAT är fortfarande den primära skadliga programvaran som används av gruppen och har utvecklats avsevärt över tid, med anpassningar för plattformar som macOS och Android. Dess fortsatta utveckling belyser fortsatta operativa investeringar.

Skadlig programvara kan utföra ett brett spektrum av skadliga aktiviteter, inklusive:

  • Insamling av autentiseringsuppgifter och utvinning av känsliga uppgifter
  • Skärmdumpstagning och systemrekognoscering
  • Utförande av kommandon och skalkod
  • Fil- och kataloghantering

För att dölja sin verksamhet lagrade tidigare varianter stulen data i MP3-filformat. Dessutom döljer RokRAT sin kommando- och kontrollkommunikation (C2) genom att dirigera data via legitima molnplattformar som Dropbox, Microsoft OneDrive, pCloud och Yandex Cloud.

Förtroende som en attackvektor: Manipulation av sociala medier

Kampanjen börjar med att falska Facebook-profiler skapas, enligt uppgift baserade i Pyongyang och Pyongsong. Dessa konton används för att identifiera och bedöma potentiella offer. När en kontakt har upprättats flyttas samtalen till Messenger, där noggrant utvalda ämnen introduceras för att fördjupa förtroende och engagemang.

En kritisk taktik som används är att övertyga måltavlor att installera en specialiserad PDF-läsare under den falska premissen att den krävs för att komma åt krypterade militära dokument. Den tillhandahållna applikationen är en modifierad version av Wondershare PDFelement, inbäddad med skadlig skalkod. Vid körning initierar installationsprogrammet komprometteringen genom att ge angriparna initial systemåtkomst.

Layered Deception: Avancerade leverans- och undvikandetekniker

Attackkedjan visar en hög grad av sofistikering genom kombinationen av flera undanflyktsstrategier:

  • Användning av trojanskad legitim programvara för att kringgå misstankar
  • Utnyttjande av komprometterad men betrodd webbinfrastruktur för C2-operationer
  • Att maskera skadliga nyttolaster som godartade filer, till exempel JPG-bilder

Det är värt att notera att angriparna utnyttjade en komprometterad webbplats länkad till en japansk fastighetsbyrås filial i Seoul för att distribuera kommandon och nyttolaster. Nyttolasten i det andra steget visas som en oskyldig bildfil som döljer den slutliga RokRAT-distributionen.

Flerstegsutförande: Från social kontakt till fullständig kompromiss

Attacksekvensen fortskrider genom flera samordnade steg. Hotaktörer skapade Facebook-konton med namnen 'richardmichael0828' och 'johnsonsophia0414' den 10 november 2025. Efter att kontakten etablerats omdirigeras kommunikationen till Telegram, där offren får ett ZIP-arkiv som innehåller den skadliga PDF-läsaren, lockbetedokument och installationsinstruktioner.

Körning av det komprometterade installationsprogrammet utlöser krypterad skalkod, som ansluter till en C2-domän och hämtar en sekundär nyttolast förklädd till en JPG-bildfil. Denna fil levererar slutligen den fullständiga RokRAT-skadliga programvaran.

Molnbaserad kommando- och kontrollfunktion: Inblandning i legitim trafik

RokRAT förbättrar ytterligare sin stealth-funktion genom att missbruka Zoho WorkDrive som en del av sin C2-infrastruktur, en metod som också observerades i kampanjen "Ruby Jumper" som identifierades i början av 2026. Genom denna metod utför den skadliga programvaran funktioner som skärmdumpning, fjärrkörning av kommandon via systemskal, insamling av värddata och säkerhetsundantag.

Strategiskt fokus: Stabilitet i funktion, innovation i leverans

Medan RokRATs kärnfunktioner i stort sett har varit desamma i alla verksamheter, fortsätter dess leveransmekanismer och undvikande taktiker att utvecklas. Denna strategiska betoning visar ett medvetet fokus på att förbättra infektionsvektorer och smygtekniker snarare än att förändra den skadliga programvarans grundläggande funktionalitet.

Trendigt

Mest sedda

Läser in...