Çoklu Lisans İndirim Teklifi
Tehdit Veritabanı Arka kapılar RokRAT Kötü Amaçlı Yazılımı

RokRAT Kötü Amaçlı Yazılımı

Mezo'de Arka kapılar, Gelişmiş Sürekli Tehdit (APT)'de
Çevir:

Kuzey Koreli tehdit grubu APT37 (ScarCruft olarak da bilinir), Facebook üzerinden sosyal mühendislik kullanarak gerçekleştirilen karmaşık, çok aşamalı bir siber saldırıyla ilişkilendirildi. Saldırganlar, arkadaşlık isteği göndererek iletişimi başlatıyor, kademeli olarak güven oluşturuyor ve ardından etkileşimi kötü amaçlı yazılım dağıtım kanalına dönüştürüyor. Bu hesaplı manipülasyon, nihayetinde uzaktan erişim truva atı RokRAT'ın dağıtımını mümkün kılıyor.

Tercih Edilen Silah: RokRAT’ın Evrimi

RokRAT, grubun kullandığı başlıca kötü amaçlı yazılım olmaya devam ediyor ve zaman içinde macOS ve Android gibi platformlara uyarlanarak önemli ölçüde gelişti. Sürekli gelişimi, sürdürülen operasyonel yatırımı vurgulamaktadır.

Bu kötü amaçlı yazılım, aşağıdakiler de dahil olmak üzere çok çeşitli kötü amaçlı faaliyetler gerçekleştirebilmektedir:

  • Kimlik bilgilerinin ele geçirilmesi ve hassas verilerin sızdırılması
  • Ekran görüntüsü yakalama ve sistem keşfi
  • Komutların ve shellcode'un yürütülmesi
  • Dosya ve dizin işlemleri

Operasyonlarını gizlemek için, önceki varyantlar çalınan verileri MP3 dosya formatında saklıyordu. Ayrıca, RokRAT komuta ve kontrol (C2) iletişimini Dropbox, Microsoft OneDrive, pCloud ve Yandex Cloud gibi meşru bulut platformları üzerinden veri yönlendirerek gizliyor.

Güven, Saldırı Aracı Olarak: Sosyal Medya Manipülasyonu

Kampanya, Pyongyang ve Pyongsong'da bulunduğu iddia edilen sahte Facebook hesaplarının oluşturulmasıyla başlıyor. Bu hesaplar, potansiyel kurbanları belirlemek ve değerlendirmek için kullanılıyor. Bağlantı kurulduktan sonra, konuşmalar Messenger'a taşınıyor ve burada güveni ve etkileşimi derinleştirmek için özenle seçilmiş konular ele alınıyor.

Kullanılan kritik taktiklerden biri, hedefleri şifrelenmiş askeri belgelere erişmek için gerekli olduğu yanılgısıyla özel bir PDF görüntüleyici yüklemeye ikna etmektir. Sağlanan uygulama, kötü amaçlı shellcode ile gömülü, Wondershare PDFelement'in değiştirilmiş bir sürümüdür. Çalıştırıldığında, bu yükleyici saldırganlara ilk sistem erişimini sağlayarak güvenlik açığını başlatır.

Katmanlı Aldatma: Gelişmiş Teslimat ve Kaçınma Teknikleri

Saldırı zinciri, birden fazla kaçınma stratejisinin birleşimi yoluyla yüksek derecede bir gelişmişlik sergiliyor:

  • Şüphe uyandırmamak için truva atı bulaştırılmış yasal yazılımların kullanılması.
  • C2 operasyonları için güvenliği ihlal edilmiş ancak güvenilir web altyapısının istismar edilmesi.
  • Zararlı yazılımları JPG resimleri gibi zararsız dosyalar gibi gizlemek.

Dikkat çekici bir şekilde, saldırganlar komutları ve zararlı yazılımları dağıtmak için Japonya'daki bir emlak hizmeti şirketinin Seul şubesine bağlı, ele geçirilmiş bir web sitesini kullandılar. İkinci aşama zararlı yazılım, son RokRAT dağıtımını gizleyen, zararsız bir resim dosyası olarak görünüyor.

Çok Aşamalı Uygulama: Sosyal Temastan Tam Uzlaşmaya

Saldırı dizisi, birkaç koordineli aşamadan geçiyor. Tehdit aktörleri, 10 Kasım 2025'te 'richardmichael0828' ve 'johnsonsophia0414' adlarında Facebook hesapları oluşturdu. İlişki kurulduktan sonra, iletişim Telegram'a yönlendiriliyor ve kurbanlar burada kötü amaçlı PDF görüntüleyiciyi, yanıltıcı belgeleri ve kurulum talimatlarını içeren bir ZIP arşivi alıyor.

Ele geçirilen yükleyicinin çalıştırılması, şifrelenmiş shellcode'u tetikler; bu shellcode, bir C2 etki alanına bağlanır ve JPG resim dosyası olarak gizlenmiş ikincil bir yükü alır. Bu dosya nihayetinde RokRAT kötü amaçlı yazılımının tamamını içerir.

Bulut Tabanlı Komuta ve Kontrol: Meşru Trafiğe Entegrasyon

RokRAT, C2 altyapısının bir parçası olarak Zoho WorkDrive'ı kötüye kullanarak gizliliğini daha da artırıyor; bu yöntem, 2026 yılının başlarında tespit edilen 'Ruby Jumper' kampanyasında da gözlemlenmişti. Bu yaklaşım sayesinde kötü amaçlı yazılım, ekran görüntüsü yakalama, sistem kabukları aracılığıyla uzaktan komut yürütme, sunucu verisi toplama ve güvenlikten kaçınma gibi işlevleri yerine getiriyor.

Stratejik Odak: İşlevde İstikrar, Teslimatta İnovasyon

RokRAT'ın temel yetenekleri operasyonlar genelinde büyük ölçüde tutarlı kalırken, dağıtım mekanizmaları ve kaçınma taktikleri gelişmeye devam etmektedir. Bu stratejik vurgu, kötü amaçlı yazılımın temel işlevselliğini değiştirmek yerine, enfeksiyon vektörlerini ve gizlilik tekniklerini iyileştirmeye yönelik bilinçli bir odaklanmayı göstermektedir.

İlgili Mesajlar

trend

Güvenlik Doğrulaması Gereken E-posta Dolandırıcılığı

Kimlik avı, İstenmeyen e-posta
Beklenmedik e-postalarla başa çıkarken dikkatli olmak, çevrimiçi güvenliği korumak için çok önemlidir. Siber suçlular, güven ve aciliyet duygusundan yararlanmak için kötü amaçlı mesajları sıklıkla meşru iletişim gibi gösterirler. "Güvenlik Doğrulaması Gerekli" e-posta dolandırıcılığı bunun en önemli örneklerinden biridir. Bu e-postalar, ikna edici görünümlerine rağmen, herhangi bir meşru...

En çok görüntülenen

Yükleniyor...