มัลแวร์ RokRAT
กลุ่มแฮ็กเกอร์ชาวเกาหลีเหนือ APT37 (หรือที่รู้จักกันในชื่อ ScarCruft) ถูกเชื่อมโยงกับปฏิบัติการโจมตีทางไซเบอร์ที่ซับซ้อนหลายขั้นตอน โดยใช้กลวิธีทางสังคมผ่านทางเฟซบุ๊ก ผู้โจมตีเริ่มต้นด้วยการส่งคำขอเป็นเพื่อน ค่อยๆ สร้างความไว้วางใจก่อนที่จะเปลี่ยนปฏิสัมพันธ์นั้นให้เป็นช่องทางในการส่งมัลแวร์ การจัดการอย่างมีแบบแผนนี้ในที่สุดก็ทำให้สามารถติดตั้งโทรจันเข้าถึงระยะไกล RokRAT ได้
สารบัญ
อาวุธคู่ใจ: วิวัฒนาการของ RokRAT
RokRAT ยังคงเป็นมัลแวร์หลักที่กลุ่มนี้ใช้ และมีการพัฒนาอย่างมากเมื่อเวลาผ่านไป โดยมีการปรับให้เข้ากับแพลตฟอร์มต่างๆ เช่น macOS และ Android การพัฒนาอย่างต่อเนื่องนี้แสดงให้เห็นถึงการลงทุนด้านการดำเนินงานอย่างไม่หยุดยั้ง
มัลแวร์นี้สามารถดำเนินการกิจกรรมที่เป็นอันตรายได้หลากหลายรูปแบบ รวมถึง:
- การเก็บรวบรวมข้อมูลประจำตัวและการรั่วไหลของข้อมูลสำคัญ
- การจับภาพหน้าจอและการสำรวจระบบ
- การเรียกใช้คำสั่งและเชลล์โค้ด
- การจัดการไฟล์และไดเร็กทอรี
เพื่อปกปิดการทำงาน เวอร์ชันก่อนหน้าจะจัดเก็บข้อมูลที่ถูกขโมยในรูปแบบไฟล์ MP3 นอกจากนี้ RokRAT ยังอำพรางการสื่อสารควบคุมและสั่งการ (C2) โดยการส่งข้อมูลผ่านแพลตฟอร์มคลาวด์ที่ถูกต้องตามกฎหมาย เช่น Dropbox, Microsoft OneDrive, pCloud และ Yandex Cloud
ความไว้วางใจในฐานะช่องทางโจมตี: การบิดเบือนข้อมูลในสื่อสังคมออนไลน์
แคมเปญนี้เริ่มต้นด้วยการสร้างบัญชีเฟซบุ๊กปลอม ซึ่งมีรายงานว่าตั้งอยู่ในเปียงยางและพยองซอง บัญชีเหล่านี้ใช้เพื่อระบุและประเมินเหยื่อที่เป็นไปได้ เมื่อมีการสร้างความสัมพันธ์แล้ว การสนทนาจะเปลี่ยนไปใช้แอปพลิเคชัน Messenger โดยจะมีการแนะนำหัวข้อที่คัดสรรมาอย่างดีเพื่อสร้างความไว้วางใจและการมีส่วนร่วมให้มากขึ้น
กลยุทธ์สำคัญที่ใช้คือการหลอกลวง โดยโน้มน้าวเป้าหมายให้ติดตั้งโปรแกรมดูไฟล์ PDF เฉพาะทางภายใต้ข้ออ้างเท็จว่าจำเป็นต้องใช้ในการเข้าถึงเอกสารทางทหารที่เข้ารหัสไว้ โปรแกรมที่ให้มานั้นเป็นเวอร์ชันดัดแปลงของ Wondershare PDFelement ซึ่งฝังด้วยโค้ดที่เป็นอันตราย เมื่อเรียกใช้งาน โปรแกรมติดตั้งนี้จะเริ่มการโจมตีโดยให้สิทธิ์การเข้าถึงระบบเบื้องต้นแก่ผู้โจมตี
การหลอกลวงแบบหลายชั้น: เทคนิคการส่งและการหลบเลี่ยงขั้นสูง
ลำดับการโจมตีแสดงให้เห็นถึงระดับความซับซ้อนสูงผ่านการผสมผสานกลยุทธ์การหลบเลี่ยงหลายวิธี:
- การใช้ซอฟต์แวร์ที่ปลอมแปลงเป็นมัลแวร์เพื่อหลีกเลี่ยงการตรวจสอบ
ที่น่าสังเกตคือ ผู้โจมตีใช้ประโยชน์จากเว็บไซต์ที่ถูกเจาะระบบ ซึ่งเชื่อมโยงกับสาขาโซลของบริษัทบริการอสังหาริมทรัพย์ของญี่ปุ่น เพื่อกระจายคำสั่งและเพย์โหลด เพย์โหลดในขั้นตอนที่สองปรากฏเป็นไฟล์รูปภาพที่ไม่เป็นอันตราย เพื่อซ่อนการติดตั้ง RokRAT ขั้นสุดท้ายไว้
การดำเนินการหลายขั้นตอน: จากการติดต่อทางสังคมไปจนถึงการประนีประนอมอย่างสมบูรณ์
ลำดับการโจมตีดำเนินไปหลายขั้นตอนอย่างเป็นระบบ ผู้โจมตีสร้างบัญชี Facebook ชื่อ 'richardmichael0828' และ 'johnsonsophia0414' เมื่อวันที่ 10 พฤศจิกายน 2025 หลังจากสร้างความสัมพันธ์แล้ว การสื่อสารจะถูกเปลี่ยนเส้นทางไปยัง Telegram ซึ่งเหยื่อจะได้รับไฟล์ ZIP ที่บรรจุโปรแกรมดู PDF ที่เป็นอันตราย เอกสารล่อลวง และคำแนะนำในการติดตั้ง
การเรียกใช้โปรแกรมติดตั้งที่ถูกบุกรุกจะกระตุ้นโค้ดเข้ารหัสลับ ซึ่งจะเชื่อมต่อกับโดเมน C2 และดึงข้อมูลมัลแวร์ตัวที่สองที่ปลอมตัวเป็นไฟล์ภาพ JPG ไฟล์นี้จะส่งมัลแวร์ RokRAT ตัวเต็มมาให้ในที่สุด
ระบบควบคุมและสั่งการบนระบบคลาวด์: ผสานเข้ากับการจราจรที่ถูกต้องตามกฎหมาย
RokRAT เพิ่มประสิทธิภาพในการพรางตัวให้ดียิ่งขึ้นไปอีกโดยการใช้ Zoho WorkDrive เป็นส่วนหนึ่งของโครงสร้างพื้นฐาน C2 ซึ่งเป็นวิธีการที่พบในแคมเปญ 'Ruby Jumper' ที่ถูกระบุในช่วงต้นปี 2026 ด้วยวิธีการนี้ มัลแวร์สามารถทำงานต่างๆ เช่น การจับภาพหน้าจอ การเรียกใช้คำสั่งจากระยะไกลผ่านทางเชลล์ระบบ การรวบรวมข้อมูลโฮสต์ และการหลีกเลี่ยงการรักษาความปลอดภัย
จุดเน้นเชิงกลยุทธ์: ความเสถียรในการดำเนินงาน นวัตกรรมในการส่งมอบบริการ
แม้ว่าความสามารถหลักของ RokRAT จะยังคงเหมือนเดิมในการปฏิบัติภารกิจต่างๆ แต่กลไกการแพร่กระจายและกลยุทธ์การหลบเลี่ยงการตรวจจับยังคงพัฒนาอย่างต่อเนื่อง การเน้นย้ำเชิงกลยุทธ์นี้แสดงให้เห็นถึงความตั้งใจที่จะปรับปรุงวิธีการแพร่กระจายและเทคนิคการพรางตัวมากกว่าการเปลี่ยนแปลงฟังก์ชันพื้นฐานของมัลแวร์
