Шкідливе програмне забезпечення RokRAT
Північнокорейську групу зловмисників APT37 (також відому як ScarCruft) пов'язують зі складною багатоетапною кіберкампанією, що використовує соціальну інженерію через Facebook. Зловмисники ініціюють контакт, надсилаючи запити на дружбу, поступово будуючи довіру, перш ніж перетворити взаємодію на канал доставки шкідливого програмного забезпечення. Ця розрахована маніпуляція зрештою дозволяє розгорнути трояна віддаленого доступу RokRAT.
Зміст
Зброя вибору: Еволюція RokRAT
RokRAT залишається основним шкідливим програмним забезпеченням, яке використовує група, і з часом значно еволюціонував, адаптуючись для таких платформ, як macOS та Android. Його подальший розвиток свідчить про стабільні операційні інвестиції.
Шкідливе програмне забезпечення здатне виконувати широкий спектр шкідливих дій, включаючи:
- Збір облікових даних та витік конфіденційних даних
- Знімок екрана та розвідка системи
- Виконання команд та шелл-код
- Маніпулювання файлами та каталогами
Щоб приховати свої операції, попередні варіанти зберігали викрадені дані у форматах MP3-файлів. Крім того, RokRAT маскує свої комунікації командування та управління (C2), маршрутизуючи дані через легітимні хмарні платформи, такі як Dropbox, Microsoft OneDrive, pCloud та Yandex Cloud.
Довіра як вектор атаки: маніпуляції в соціальних мережах
Кампанія починається зі створення шахрайських облікових записів у Facebook, які, як повідомляється, базуються в Пхеньяні та Пхеньсоні. Ці облікові записи використовуються для ідентифікації та оцінки потенційних жертв. Після встановлення з'єднання розмови переходять у Messenger, де обговорюються ретельно підібрані теми для поглиблення довіри та взаємодії.
Критичною тактикою є використання приводів, які переконують цільові особи встановити спеціалізований переглядач PDF-файлів під хибним припущенням, що він потрібен для доступу до зашифрованих військових документів. Наданий додаток є модифікованою версією Wondershare PDFelement, в яку вбудовано шкідливий шелл-код. Після запуску цей інсталятор ініціює компрометацію, надаючи зловмисникам початковий доступ до системи.
Багаторівневий обман: вдосконалені методи доставки та ухилення
Ланцюг атаки демонструє високий ступінь складності завдяки поєднанню кількох стратегій ухилення:
- Використання троянських програм для уникнення підозр
Примітно, що зловмисники використали скомпрометований веб-сайт, пов'язаний із сеульським відділенням японської служби нерухомості, для розповсюдження команд та корисних навантажень. Корисне навантаження другого етапу виглядає як нешкідливий файл зображення, приховуючи остаточне розгортання RokRAT.
Багатоетапне виконання: від соціального контакту до повного компромісу
Послідовність атак проходить кілька скоординованих етапів. 10 листопада 2025 року зловмисники створили облікові записи у Facebook з іменами «richardmichael0828» та «johnsonsophia0414». Після встановлення контакту зв’язок перенаправляється до Telegram, де жертви отримують ZIP-архів, що містить шкідливий переглядач PDF-файлів, документи-приманки та інструкції з встановлення.
Виконання скомпрометованого інсталятора запускає зашифрований шелл-код, який підключається до домену C2 та отримує вторинне корисне навантаження, замасковане під файл зображення JPG. Цей файл зрештою доставляє повний комплект шкідливого програмного забезпечення RokRAT.
Хмарне командування та управління: інтеграція в легітимний трафік
RokRAT ще більше посилює свою прихованість, зловживаючи Zoho WorkDrive як частиною своєї інфраструктури C2, метод, який також спостерігався в кампанії «Ruby Jumper», виявленій на початку 2026 року. Завдяки цьому підходу шкідливе програмне забезпечення виконує такі функції, як зняття екрана, віддалене виконання команд через системні оболонки, збір даних хоста та обхід безпеки.
Стратегічний фокус: Стабільність у функціонуванні, інновації у наданні послуг
Хоча основні можливості RokRAT залишаються значною мірою незмінними в усіх операціях, його механізми доставки та тактики ухилення продовжують розвиватися. Цей стратегічний акцент демонструє навмисну зосередженість на вдосконаленні векторів зараження та методів приховування, а не на зміні базової функціональності шкідливого програмного забезпечення.
