RokRAT மால்வேர்
வட கொரிய அச்சுறுத்திக் குழுவான APT37 (ScarCruft என்றும் அழைக்கப்படுகிறது), பேஸ்புக் வழியாக சமூகப் பொறியியலைப் பயன்படுத்தும் ஒரு நுட்பமான, பல கட்ட இணையவழித் தாக்குதலுடன் தொடர்புடையதாகக் கண்டறியப்பட்டுள்ளது. தாக்குதல் நடத்துபவர்கள் நண்பர் கோரிக்கைகளை அனுப்புவதன் மூலம் தொடர்பைத் தொடங்கி, படிப்படியாக நம்பிக்கையை வளர்த்து, பின்னர் அந்த உரையாடலை ஒரு தீம்பொருள் விநியோக வழியாக மாற்றுகிறார்கள். திட்டமிட்டுக் கையாளப்படும் இந்த முறைகேடு, இறுதியில் RokRAT எனப்படும் தொலைநிலை அணுகல் ட்ரோஜனைப் பரப்புவதற்கு வழிவகுக்கிறது.
பொருளடக்கம்
விருப்பமான ஆயுதம்: ராக்ராட்டின் பரிணாம வளர்ச்சி
ராக்ராட் (RokRAT) அந்தக் குழுவால் பயன்படுத்தப்படும் முதன்மை தீம்பொருளாகத் தொடர்கிறது, மேலும் இது macOS மற்றும் ஆண்ட்ராய்டு போன்ற இயங்குதளங்களுக்கான தழுவல்களுடன், காலப்போக்கில் கணிசமாகப் பரிணாம வளர்ச்சி அடைந்துள்ளது. அதன் தொடர்ச்சியான வளர்ச்சி, நீடித்த செயல்பாட்டு முதலீட்டை எடுத்துக்காட்டுகிறது.
இந்த தீம்பொருளானது பின்வருவன உள்ளிட்ட பல்வேறு வகையான தீங்கிழைக்கும் செயல்பாடுகளைச் செய்யும் திறன் கொண்டது:
- அடையாளச் சான்று திருட்டு மற்றும் இரகசியத் தரவுக் கசிவு
- திரைப்பிடிப்பு மற்றும் கணினி உளவு
- கட்டளைகள் மற்றும் ஷெல்கோடு செயல்படுத்துதல்
- கோப்பு மற்றும் கோப்பக கையாளுதல்
அதன் செயல்பாடுகளை மறைப்பதற்காக, முந்தைய பதிப்புகள் திருடப்பட்ட தரவுகளை MP3 கோப்பு வடிவங்களில் சேமித்தன. மேலும், டிராப்பாக்ஸ், மைக்ரோசாஃப்ட் ஒன்டிரைவ், பி-கிளவுட் மற்றும் யாண்டெக்ஸ் கிளவுட் போன்ற முறையான கிளவுட் தளங்கள் வழியாகத் தரவை வழிநடத்துவதன் மூலம், ராக்ராட் அதன் கட்டளை மற்றும் கட்டுப்பாட்டு (C2) தகவல்தொடர்புகளை மறைக்கிறது.
தாக்குதல் காரணியாக நம்பிக்கை: சமூக ஊடக கையாளுதல்
பியோங்யாங் மற்றும் பியோங்சோங்கில் இருப்பதாகக் கூறப்படும் போலி ஃபேஸ்புக் கணக்குகளை உருவாக்குவதில் இந்தப் பிரச்சாரம் தொடங்குகிறது. சாத்தியமான பாதிக்கப்பட்டவர்களை அடையாளம் கண்டு மதிப்பிடுவதற்கு இந்தக் கணக்குகள் பயன்படுத்தப்படுகின்றன. ஒரு இணைப்பு ஏற்பட்டவுடன், உரையாடல்கள் மெசஞ்சருக்கு மாறுகின்றன; அங்கு நம்பிக்கையையும் ஈடுபாட்டையும் ஆழப்படுத்துவதற்காகக் கவனமாகத் தேர்ந்தெடுக்கப்பட்ட தலைப்புகள் அறிமுகப்படுத்தப்படுகின்றன.
பயன்படுத்தப்படும் ஒரு முக்கிய தந்திரம், மறைகுறியாக்கப்பட்ட இராணுவ ஆவணங்களை அணுகுவதற்கு ஒரு சிறப்பு PDF வியூவர் தேவை என்ற தவறான சாக்குப்போக்கின் கீழ், இலக்குகளை அதை நிறுவுமாறு நம்ப வைப்பதாகும். வழங்கப்படும் செயலியானது, தீங்கிழைக்கும் ஷெல்கோடு பதிக்கப்பட்ட Wondershare PDFelement-இன் மாற்றியமைக்கப்பட்ட பதிப்பாகும். செயல்படுத்தப்பட்டவுடன், இந்த இன்ஸ்டாலர் தாக்குபவர்களுக்கு ஆரம்பக்கட்ட கணினி அணுகலை வழங்குவதன் மூலம் ஊடுருவலைத் தொடங்குகிறது.
அடுக்கு ஏமாற்று: மேம்பட்ட வழங்குதல் மற்றும் தப்பித்தல் நுட்பங்கள்
இந்தத் தாக்குதல் தொடரானது, பல்வேறு தப்பிக்கும் உத்திகளின் ஒருங்கிணைப்பின் மூலம் உயர் மட்ட நுட்பத்தை வெளிப்படுத்துகிறது:
- சந்தேகத்தைத் தவிர்ப்பதற்காக, ட்ரோஜன் தாக்கப்பட்ட முறையான மென்பொருளைப் பயன்படுத்துதல்
- C2 செயல்பாடுகளுக்காக, சமரசம் செய்யப்பட்ட ஆனால் நம்பகமான இணைய உள்கட்டமைப்பைச் சுரண்டுதல்
- தீங்கிழைக்கும் கோப்புகளை, JPG படங்கள் போன்ற தீங்கற்ற கோப்புகளாக மாறுவேடமிடுதல்
குறிப்பாக, தாக்குதல் நடத்தியவர்கள், ஜப்பானிய ரியல் எஸ்டேட் சேவை நிறுவனத்தின் சியோல் கிளையுடன் இணைக்கப்பட்டிருந்த, ஊடுருவப்பட்ட ஒரு இணையதளத்தைப் பயன்படுத்தி கட்டளைகளையும் பேலோடுகளையும் விநியோகித்தனர். இரண்டாம் கட்ட பேலோடானது, பாதிப்பில்லாத ஒரு படக் கோப்பாகத் தோன்றி, இறுதியான RokRAT நிலைநிறுத்தத்தை மறைக்கிறது.
பல கட்டச் செயலாக்கம்: சமூகத் தொடர்பிலிருந்து முழுமையான சமரசம் வரை
இந்தத் தாக்குதல் செயல்முறை பல ஒருங்கிணைக்கப்பட்ட கட்டங்கள் வழியாக முன்னேறுகிறது. அச்சுறுத்தல் செய்பவர்கள் நவம்பர் 10, 2025 அன்று 'richardmichael0828' மற்றும் 'johnsonsophia0414' என்ற பெயர்களில் ஃபேஸ்புக் கணக்குகளை உருவாக்கினர். நல்லுறவை ஏற்படுத்திய பிறகு, தகவல் பரிமாற்றம் டெலிகிராமிற்குத் திருப்பி விடப்படுகிறது. அங்கு, பாதிக்கப்பட்டவர்கள் தீங்கிழைக்கும் PDF வியூவர், போலியான ஆவணங்கள் மற்றும் நிறுவல் வழிமுறைகளைக் கொண்ட ஒரு ZIP காப்பகத்தைப் பெறுகிறார்கள்.
பாதிக்கப்பட்ட இன்ஸ்டாலரை இயக்குவது, மறைகுறியாக்கப்பட்ட ஷெல்கோடைத் தூண்டுகிறது. அது ஒரு C2 டொமைனுடன் இணைத்து, JPG படக் கோப்பாக மாறுவேடமிட்ட ஒரு இரண்டாம் நிலை பேலோடைப் பெறுகிறது. இந்தக் கோப்பு இறுதியில் முழுமையான RokRAT தீம்பொருளை வழங்குகிறது.
கிளவுட் அடிப்படையிலான கட்டளை மற்றும் கட்டுப்பாடு: முறையான போக்குவரத்துடன் ஒன்றிணைதல்
2026-ஆம் ஆண்டின் தொடக்கத்தில் அடையாளம் காணப்பட்ட 'ரூபி ஜம்பர்' தாக்குதலிலும் காணப்பட்டதைப் போன்ற ஒரு முறையை, RokRAT தனது C2 உள்கட்டமைப்பின் ஒரு பகுதியாக Zoho WorkDrive-ஐத் தவறாகப் பயன்படுத்தி, தனது மறைமுகச் செயல்பாட்டை மேலும் மேம்படுத்துகிறது. இந்த அணுகுமுறை மூலம், அந்த மால்வேர் ஸ்கிரீன்ஷாட் எடுப்பது, சிஸ்டம் ஷெல்கள் வழியாக தொலைநிலைக் கட்டளைகளைச் செயல்படுத்துவது, ஹோஸ்ட் தரவுகளைச் சேகரிப்பது மற்றும் பாதுகாப்பைத் தவிர்ப்பது போன்ற செயல்பாடுகளைச் செய்கிறது.
மூலோபாய கவனம்: செயல்பாட்டில் நிலைத்தன்மை, வழங்குதலில் புதுமை
செயல்பாடுகள் முழுவதும் RokRAT-இன் முக்கியத் திறன்கள் பெரும்பாலும் சீராகவே இருந்து வந்தாலும், அதன் பரவல் வழிமுறைகளும் தப்பிக்கும் தந்திரங்களும் தொடர்ந்து பரிணமித்து வருகின்றன. இந்த உத்திசார்ந்த முக்கியத்துவம், தீம்பொருளின் அடிப்படைச் செயல்பாட்டை மாற்றுவதை விட, தொற்றுப் பரவல் வழிகளையும் மறைமுக நுட்பங்களையும் மேம்படுத்துவதில் ஒரு திட்டமிட்ட கவனத்தைக் காட்டுகிறது.
