RokRAT మాల్వేర్

ఉత్తర కొరియాకు చెందిన APT37 (ScarCruft అని కూడా పిలుస్తారు) అనే ముప్పు సమూహం, ఫేస్‌బుక్ ద్వారా సోషల్ ఇంజనీరింగ్‌ను ఉపయోగించుకుంటూ, ఒక అధునాతనమైన, బహుళ-దశల సైబర్ దాడికి పాల్పడినట్లు తేలింది. దాడి చేసేవారు ఫ్రెండ్ రిక్వెస్ట్‌లు పంపడం ద్వారా పరిచయాన్ని ప్రారంభిస్తారు, క్రమంగా నమ్మకాన్ని పెంచుకుంటూ, ఆ తర్వాత ఆ సంభాషణను మాల్‌వేర్ పంపిణీ మార్గంగా మారుస్తారు. ఈ ప్రణాళికాబద్ధమైన తారుమారు చివరికి RokRAT అనే రిమోట్ యాక్సెస్ ట్రోజన్‌ను ప్రయోగించడానికి వీలు కల్పిస్తుంది.

ఇష్టమైన ఆయుధం: రోక్‌రాట్ పరిణామం

RokRAT అనేది ఈ బృందం ఉపయోగించే ప్రాథమిక మాల్వేర్‌గా మిగిలిపోయింది మరియు macOS, Android వంటి ప్లాట్‌ఫారమ్‌లకు అనుగుణంగా మార్పులతో కాలక్రమేణా ఇది గణనీయంగా అభివృద్ధి చెందింది. దీని నిరంతర అభివృద్ధి, కొనసాగుతున్న కార్యాచరణ పెట్టుబడిని స్పష్టం చేస్తుంది.

ఈ మాల్వేర్ కింది వాటితో సహా అనేక రకాల హానికరమైన కార్యకలాపాలను నిర్వహించగలదు:

• క్రెడెన్షియల్ హార్వెస్టింగ్ మరియు సున్నితమైన డేటా ఎక్స్ఫిల్ట్రేషన్
• స్క్రీన్‌షాట్ క్యాప్చర్ మరియు సిస్టమ్ నిఘా
• ఆదేశాలు మరియు షెల్‌కోడ్ అమలు
• ఫైల్ మరియు డైరెక్టరీ నిర్వహణ

దాని కార్యకలాపాలను మరుగుపరచడానికి, మునుపటి వేరియంట్లు దొంగిలించిన డేటాను MP3 ఫైల్ ఫార్మాట్లలో నిల్వ చేశాయి. అదనంగా, RokRAT డ్రాప్‌బాక్స్, మైక్రోసాఫ్ట్ వన్‌డ్రైవ్, pCloud మరియు యాండెక్స్ క్లౌడ్ వంటి చట్టబద్ధమైన క్లౌడ్ ప్లాట్‌ఫారమ్‌ల ద్వారా డేటాను మళ్లించడం ద్వారా దాని కమాండ్-అండ్-కంట్రోల్ (C2) కమ్యూనికేషన్‌లను మారువేషంలో ఉంచుతుంది.

దాడికి ఒక సాధనంగా విశ్వాసం: సోషల్ మీడియా తారుమారు

ఈ ప్రచారం, ప్యాంగ్‌యాంగ్ మరియు ప్యాంగ్‌సాంగ్‌లలో ఉన్నట్లుగా చెప్పబడుతున్న మోసపూరిత ఫేస్‌బుక్ ఖాతాలను సృష్టించడంతో మొదలవుతుంది. ఈ ఖాతాలను, బాధితులుగా మారే అవకాశం ఉన్నవారిని గుర్తించి, అంచనా వేయడానికి ఉపయోగిస్తారు. ఒకసారి సంబంధం ఏర్పడిన తర్వాత, సంభాషణలు మెసెంజర్‌కు మారుతాయి. అక్కడ నమ్మకాన్ని, భాగస్వామ్యాన్ని మరింత పెంచడానికి జాగ్రత్తగా ఎంచుకున్న అంశాలను పరిచయం చేస్తారు.

ఉపయోగించే ఒక కీలకమైన వ్యూహం ఏమిటంటే, ఎన్‌క్రిప్ట్ చేయబడిన సైనిక పత్రాలను యాక్సెస్ చేయడానికి ఇది అవసరమనే తప్పుడు సాకుతో, ఒక ప్రత్యేకమైన PDF వ్యూయర్‌ను ఇన్‌స్టాల్ చేసేలా లక్ష్యాలను ఒప్పించడం. అందించబడిన అప్లికేషన్, హానికరమైన షెల్‌కోడ్‌తో పొందుపరచబడిన, వండర్‌షేర్ PDFఎలిమెంట్ యొక్క సవరించిన వెర్షన్. దీనిని అమలు చేసిన వెంటనే, ఈ ఇన్‌స్టాలర్ దాడి చేసేవారికి ప్రాథమిక సిస్టమ్ యాక్సెస్‌ను ఇవ్వడం ద్వారా రాజీ ప్రక్రియను ప్రారంభిస్తుంది.

బహుళ అంచెల మోసం: అధునాతన ప్రసారం మరియు తప్పించుకునే పద్ధతులు

బహుళ తప్పించుకునే వ్యూహాల కలయిక ద్వారా ఈ దాడి శ్రేణి అత్యంత అధునాతనతను ప్రదర్శిస్తుంది:

• అనుమానాన్ని తప్పించుకోవడానికి ట్రోజనైజ్ చేయబడిన చట్టబద్ధమైన సాఫ్ట్‌వేర్‌ను ఉపయోగించడం
• C2 కార్యకలాపాల కోసం రాజీపడినప్పటికీ విశ్వసనీయమైన వెబ్ మౌలిక సదుపాయాలను దుర్వినియోగం చేయడం

• JPG చిత్రాల వంటి హానిచేయని ఫైల్స్‌గా హానికరమైన పేలోడ్‌లను మారువేషంలో ఉంచడం

ముఖ్యంగా, దాడి చేసేవారు ఆదేశాలు మరియు పేలోడ్‌లను పంపిణీ చేయడానికి, జపాన్‌కు చెందిన ఒక రియల్ ఎస్టేట్ సేవా సంస్థ యొక్క సియోల్ శాఖకు అనుసంధానించబడిన, హ్యాక్ చేయబడిన వెబ్‌సైట్‌ను ఉపయోగించుకున్నారు. రెండవ దశ పేలోడ్ ఒక హానిచేయని ఇమేజ్ ఫైల్‌గా కనిపిస్తుంది, ఇది చివరి రోక్‌రాట్ (RokRAT) మోహరింపును దాచిపెడుతుంది.

బహుళ-దశల అమలు: సామాజిక పరిచయం నుండి పూర్తి రాజీ వరకు

ఈ దాడి క్రమం అనేక సమన్వయ దశల ద్వారా కొనసాగుతుంది. దుండగులు నవంబర్ 10, 2025న 'richardmichael0828' మరియు 'johnsonsophia0414' అనే పేర్లతో ఫేస్‌బుక్ ఖాతాలను సృష్టించారు. పరిచయం ఏర్పరచుకున్న తర్వాత, సంభాషణను టెలిగ్రామ్‌కు మళ్లిస్తారు, అక్కడ బాధితులకు హానికరమైన PDF వ్యూయర్, నకిలీ పత్రాలు మరియు ఇన్‌స్టాలేషన్ సూచనలు ఉన్న ఒక ZIP ఆర్కైవ్ అందుతుంది.

రాజీపడిన ఇన్‌స్టాలర్‌ను అమలు చేయడం ఎన్‌క్రిప్టెడ్ షెల్‌కోడ్‌ను ప్రేరేపిస్తుంది, ఇది C2 డొమైన్‌కు కనెక్ట్ అయి, JPG ఇమేజ్ ఫైల్‌గా మారువేషంలో ఉన్న ద్వితీయ పేలోడ్‌ను తిరిగి పొందుతుంది. ఈ ఫైల్ చివరికి పూర్తి రోక్‌రాట్ మాల్వేర్‌ను అందిస్తుంది.

క్లౌడ్ ఆధారిత ఆదేశం మరియు నియంత్రణ: చట్టబద్ధమైన ట్రాఫిక్‌లో కలిసిపోవడం

RokRAT తన C2 ఇన్‌ఫ్రాస్ట్రక్చర్‌లో భాగంగా Zoho WorkDriveను దుర్వినియోగం చేయడం ద్వారా తన రహస్యతను మరింత పెంచుకుంటుంది. 2026 ప్రారంభంలో గుర్తించబడిన 'రూబీ జంపర్' క్యాంపెయిన్‌లో కూడా ఇదే పద్ధతిని గమనించారు. ఈ విధానం ద్వారా, ఈ మాల్వేర్ స్క్రీన్‌షాట్ క్యాప్చర్, సిస్టమ్ షెల్స్ ద్వారా రిమోట్ కమాండ్ ఎగ్జిక్యూషన్, హోస్ట్ డేటా సేకరణ మరియు భద్రతను తప్పించుకోవడం వంటి పనులను చేస్తుంది.

వ్యూహాత్మక దృష్టి: పనితీరులో స్థిరత్వం, అందించడంలో నవకల్పన

ఆపరేషన్లన్నింటిలోనూ రోక్‌రాట్ యొక్క ప్రధాన సామర్థ్యాలు చాలా వరకు స్థిరంగా ఉన్నప్పటికీ, దాని పంపిణీ యంత్రాంగాలు మరియు తప్పించుకునే వ్యూహాలు నిరంతరం అభివృద్ధి చెందుతూనే ఉన్నాయి. ఈ వ్యూహాత్మక ప్రాధాన్యత, మాల్వేర్ యొక్క ప్రాథమిక కార్యాచరణను మార్చడం కంటే, ఇన్ఫెక్షన్ మార్గాలను మరియు రహస్య పద్ధతులను మెరుగుపరచడంపై ఉద్దేశపూర్వక దృష్టిని ప్రదర్శిస్తుంది.