RokRAT惡意軟體
北韓網路威脅組織APT37(又稱ScarCruft)被指與一場精心策劃的多階段網路攻擊活動有關,該活動利用Facebook進行社交工程攻擊。攻擊者先發送好友請求,逐步建立信任,然後將互動轉化為惡意軟體傳播管道。這種精心策劃的操縱最終使得遠端存取木馬RokRAT得以部署。
目錄
選擇武器:RokRAT 的演變
RokRAT 仍然是該組織使用的主要惡意軟體,並且隨著時間的推移發生了顯著變化,出現了適用於 macOS 和 Android 等平台的版本。其持續發展凸顯了該組織持續的營運投入。
該惡意軟體能夠執行多種惡意活動,包括:
- 憑證竊取和敏感資料洩露
- 螢幕截圖和系統偵察
- 執行命令和 shellcode
- 檔案和目錄操作
為了掩蓋其行動,早期的變種會將竊取的資料以 MP3 檔案格式儲存。此外,RokRAT 還透過 Dropbox、Microsoft OneDrive、pCloud 和 Yandex Cloud 等合法雲端平台路由數據,從而偽裝其命令與控制 (C2) 通訊。
信任作為攻擊媒介:社群媒體操縱
該行動始於創建虛假的Facebook帳號,據稱這些帳號設在平壤和平城。這些帳號用於識別和評估潛在受害者。一旦建立聯繫,對話就會轉移到Messenger,在那裡引入精心挑選的話題,以加深信任和互動。
攻擊者採用的關鍵策略是偽裝,誘使目標用戶安裝一款專門的PDF檢視器,謊稱需要存取加密的軍事文件。該應用程式是Wondershare PDFelement的修改版,其中嵌入了惡意shellcode。一旦執行,該安裝程式會授予攻擊者初始系統存取權限,從而啟動入侵程序。
多層欺騙:高級傳遞與規避技巧
此攻擊鏈透過結合多種規避策略,展現出高度的複雜性:
- 利用植入木馬的合法軟體繞過懷疑
值得注意的是,攻擊者利用一個與日本某房地產服務公司首爾分公司關聯的被入侵網站來分發指示和有效載荷。第二階段的有效載荷偽裝成一個看似無害的圖像文件,從而隱藏了最終的 RokRAT 部署。
多階段執行:從社交接觸到全面妥協
攻擊過程分為幾個協調的階段。攻擊者於2025年11月10日創建了名為「richardmichael0828」和「johnsonsophia0414」的Facebook帳戶。建立聯繫後,通訊被轉移到Telegram,受害者會收到一個包含惡意PDF檢視器、誘餌文件和安裝說明的ZIP壓縮包。
執行被入侵的安裝程式會觸發加密的 shellcode,該 shellcode 會連接到 C2 伺服器網域並擷取偽裝成 JPG 影像檔案的輔助有效載荷。該檔案最終會傳播完整的 RokRAT 惡意軟體。
基於雲端的指揮與控制:融入合法流量
RokRAT 透過濫用 Zoho WorkDrive 作為其 C2 基礎設施的一部分,進一步增強了其隱蔽性,這種方法在 2026 年初發現的「Ruby Jumper」活動中也有發現。透過這種方式,該惡意軟體執行諸如螢幕截圖擷取、透過系統 shell 執行遠端命令、收集主機資料和安全規避等功能。
策略重點:職能穩定,交付創新
儘管 RokRAT 的核心功能在各種行動中基本上保持不變,但其傳播機制和規避策略卻不斷演變。這種策略重點表明,其關注點在於改進感染途徑和隱藏技術,而非改變惡意軟體的基礎功能。
