RokRAT恶意软件

翻译为：

朝鲜网络威胁组织APT37（又名ScarCruft）被指与一场精心策划的多阶段网络攻击活动有关，该活动利用Facebook进行社交工程攻击。攻击者首先发送好友请求，逐步建立信任，然后将互动转化为恶意软件传播渠道。这种精心策划的操纵最终使得远程访问木马RokRAT得以部署。

RokRAT 仍然是该组织使用的主要恶意软件，并且随着时间的推移发生了显著变化，出现了适用于 macOS 和 Android 等平台的版本。其持续发展凸显了该组织持续的运营投入。

该恶意软件能够执行多种恶意活动，包括：

为了掩盖其行动，早期的变种会将窃取的数据以 MP3 文件格式存储。此外，RokRAT 还通过 Dropbox、Microsoft OneDrive、pCloud 和 Yandex Cloud 等合法云平台路由数据，从而伪装其命令与控制 (C2) 通信。

该行动始于创建虚假的Facebook账号，据称这些账号设在平壤和平城。这些账号用于识别和评估潜在受害者。一旦建立联系，对话就会转移到Messenger，在那里引入精心挑选的话题，以加深信任和互动。

攻击者采用的关键策略是伪装，诱使目标用户安装一款专门的PDF查看器，谎称需要访问加密的军事文件。该应用程序是Wondershare PDFelement的修改版，其中嵌入了恶意shellcode。一旦执行，该安装程序会授予攻击者初始系统访问权限，从而启动入侵过程。

该攻击链通过结合多种规避策略，展现出高度的复杂性：

利用已被攻破但仍可信的网络基础设施进行C2操作

将恶意载荷伪装成良性文件，例如 JPG 图片。

值得注意的是，攻击者利用一个与日本某房地产服务公司首尔分公司关联的被入侵网站来分发指令和有效载荷。第二阶段的有效载荷伪装成一个看似无害的图像文件，从而隐藏了最终的 RokRAT 部署。

攻击过程分为几个协调的阶段。攻击者于2025年11月10日创建了名为“richardmichael0828”和“johnsonsophia0414”的Facebook账户。建立联系后，通信被转移到Telegram，受害者会收到一个包含恶意PDF查看器、诱饵文档和安装说明的ZIP压缩包。

执行被入侵的安装程序会触发加密的 shellcode，该 shellcode 会连接到 C2 服务器并获取伪装成 JPG 图像文件的辅助有效载荷。该文件最终会传播完整的 RokRAT 恶意软件。

RokRAT 通过滥用 Zoho WorkDrive 作为其 C2 基础架构的一部分，进一步增强了其隐蔽性，这种方法在 2026 年初发现的“Ruby Jumper”活动中也有发现。通过这种方法，该恶意软件执行诸如屏幕截图捕获、通过系统 shell 执行远程命令、主机数据收集和安全规避等功能。

尽管 RokRAT 的核心功能在各种行动中基本保持不变，但其传播机制和规避策略却在不断演变。这种战略重点表明，其关注点在于改进感染途径和隐蔽技术，而非改变恶意软件的基础功能。

搜索