- 19,516
- 40
- 8 Ноя 2022
Антивирус видит чистую фотографию, а внутри — шпионский вирус от Ким Чен Ына.
Специалисты Genians Security Center Для просмотра ссылки Войдиили Зарегистрируйся усовершенствованную версию вредоносного ПО RoKRAT, которое связывают с северокорейской группировкой APT37. Новая модификация отличается необычным способом сокрытия вредоносного кода — в теле обычных JPEG-изображений. Такой подход позволяет обходить традиционные антивирусные системы, поскольку вредоносный функционал не записывается напрямую на диск, а извлекается в оперативную память.
Первоначальное заражение начинается с запуска вредоносного ярлыка формата .LNK, который содержится внутри ZIP-архива. Один из примеров — архив под названием «National Intelligence and Counterintelligence Manuscript.zip». Его структура включает в себя .LNK-файл увеличенного размера (свыше 50 МБ), в который зашиты документы-приманки и закодированные компоненты: shellcode (ttf01.dat), PowerShell-скрипт (ttf02.dat) и пакетный файл (ttf03.bat).
При запуске файла активируется PowerShell, который применяет однобайтовый XOR с ключом 0x33, расшифровывая 32-битный shellcode. Последующий этап включает внедрение второго уровня зашифрованного кода, который расшифровывается по смещению 0x590 с использованием ключа 0xAE. После этого образуется исполняемый файл, содержащий ссылки на отладочную информацию, например, путь «D:\Work\Util\InjectShellcode\Release\InjectShellcode.pdb».
Расшифрованный фрагмент затем внедряется в легитимные процессы Windows, такие как «mspaint.exe» или «notepad.exe», находящиеся в директории SysWOW64. В рамках этой процедуры создаётся виртуальная память, в которую записываются блоки данных объёмом около 892 928 байт. Их повторно расшифровывают с помощью XOR, теперь уже с ключом 0xD6. На этом этапе активируется основная часть RoKRAT.
Файл не сохраняется на диск, что значительно затрудняет анализ после факта заражения. Признаки принадлежности к APT37 включают временные метки файлов, например, 21 апреля 2025 года в 00:39:59 UTC, и уникальные конструкции вроде «–wwjaughalvncjwiajs–».
Существенное нововведение заключается в применении стеганографии. Вредоносный загрузчик RoKRAT внедряется в изображение JPEG, такое как «Father.jpg», размещённое на Dropbox. Этот файл сохраняет валидный заголовок Exif, но начиная со смещения 0x4201 содержит закодированный shellcode. Для извлечения применяется двойное XOR-преобразование: сначала с ключом 0xAA, затем с 0x29. После этого RoKRAT загружается напрямую в память и выполняется без следов на файловой системе.
Для запуска вредоносного DLL-файла используются техники боковой загрузки через легитимные утилиты, например, ShellRunas.exe или AccessEnum.exe, которые встраиваются в документы формата HWP. Загрузки происходят с облачных платформ, в том числе Dropbox, pCloud и Яндекс.Диск, с использованием API и просроченных токенов доступа, например: «hFkFeKn8jJIAAAAAAAAAAZr14zutJmQzoOx-g5k9SV9vy7phb9QiNCIEO7SAp1Ch».
Кроме сбора системной информации и документов, RoKRAT делает скриншоты и пересылает их на внешние серверы. Последние образцы, датированные июлем 2025 года, распространяются под видом ярлыков вроде «Academy Operation for Successful Resettlement of North Korean Defectors in South Korea.lnk». Эти версии уже используют «notepad.exe» как целевой процесс для внедрения, а внутри кода указываются новые пути, такие как «D:\Work\Weapon», что свидетельствует о продолжающейся доработке инструментария.
Для защиты от подобных атак важную роль играет использование систем обнаружения и реагирования на конечных точках (EDR). Эти решения отслеживают необычную активность, включая инъекции кода и сетевые соединения с облачными API. Визуализация через EDR позволяет выстроить всю цепочку атаки — от запуска LNK до передачи данных на командный сервер, а также быстро изолировать угрозу по методологии MITRE ATT&CK.
Учитывая всё более изощрённые методы APT-групп, основанные на отказе от файлов и применении скрытной передачи данных, становится очевидным: традиционные сигнатурные защиты уже не справляются. Особенно в условиях, когда целью становятся Windows-системы в Южной Корее и других странах региона.
Специалисты Genians Security Center Для просмотра ссылки Войди
Первоначальное заражение начинается с запуска вредоносного ярлыка формата .LNK, который содержится внутри ZIP-архива. Один из примеров — архив под названием «National Intelligence and Counterintelligence Manuscript.zip». Его структура включает в себя .LNK-файл увеличенного размера (свыше 50 МБ), в который зашиты документы-приманки и закодированные компоненты: shellcode (ttf01.dat), PowerShell-скрипт (ttf02.dat) и пакетный файл (ttf03.bat).
При запуске файла активируется PowerShell, который применяет однобайтовый XOR с ключом 0x33, расшифровывая 32-битный shellcode. Последующий этап включает внедрение второго уровня зашифрованного кода, который расшифровывается по смещению 0x590 с использованием ключа 0xAE. После этого образуется исполняемый файл, содержащий ссылки на отладочную информацию, например, путь «D:\Work\Util\InjectShellcode\Release\InjectShellcode.pdb».
Расшифрованный фрагмент затем внедряется в легитимные процессы Windows, такие как «mspaint.exe» или «notepad.exe», находящиеся в директории SysWOW64. В рамках этой процедуры создаётся виртуальная память, в которую записываются блоки данных объёмом около 892 928 байт. Их повторно расшифровывают с помощью XOR, теперь уже с ключом 0xD6. На этом этапе активируется основная часть RoKRAT.
Файл не сохраняется на диск, что значительно затрудняет анализ после факта заражения. Признаки принадлежности к APT37 включают временные метки файлов, например, 21 апреля 2025 года в 00:39:59 UTC, и уникальные конструкции вроде «–wwjaughalvncjwiajs–».
Существенное нововведение заключается в применении стеганографии. Вредоносный загрузчик RoKRAT внедряется в изображение JPEG, такое как «Father.jpg», размещённое на Dropbox. Этот файл сохраняет валидный заголовок Exif, но начиная со смещения 0x4201 содержит закодированный shellcode. Для извлечения применяется двойное XOR-преобразование: сначала с ключом 0xAA, затем с 0x29. После этого RoKRAT загружается напрямую в память и выполняется без следов на файловой системе.
Для запуска вредоносного DLL-файла используются техники боковой загрузки через легитимные утилиты, например, ShellRunas.exe или AccessEnum.exe, которые встраиваются в документы формата HWP. Загрузки происходят с облачных платформ, в том числе Dropbox, pCloud и Яндекс.Диск, с использованием API и просроченных токенов доступа, например: «hFkFeKn8jJIAAAAAAAAAAZr14zutJmQzoOx-g5k9SV9vy7phb9QiNCIEO7SAp1Ch».
Кроме сбора системной информации и документов, RoKRAT делает скриншоты и пересылает их на внешние серверы. Последние образцы, датированные июлем 2025 года, распространяются под видом ярлыков вроде «Academy Operation for Successful Resettlement of North Korean Defectors in South Korea.lnk». Эти версии уже используют «notepad.exe» как целевой процесс для внедрения, а внутри кода указываются новые пути, такие как «D:\Work\Weapon», что свидетельствует о продолжающейся доработке инструментария.
Для защиты от подобных атак важную роль играет использование систем обнаружения и реагирования на конечных точках (EDR). Эти решения отслеживают необычную активность, включая инъекции кода и сетевые соединения с облачными API. Визуализация через EDR позволяет выстроить всю цепочку атаки — от запуска LNK до передачи данных на командный сервер, а также быстро изолировать угрозу по методологии MITRE ATT&CK.
Учитывая всё более изощрённые методы APT-групп, основанные на отказе от файлов и применении скрытной передачи данных, становится очевидным: традиционные сигнатурные защиты уже не справляются. Особенно в условиях, когда целью становятся Windows-системы в Южной Корее и других странах региона.
- Источник новости
- www.securitylab.ru
