05/08/25
Специалисты Genians Security Center обнаружили усовершенствованную версию вредоносного ПО RoKRAT, которое связывают с северокорейской группировкой APT37, пишет Securitylab. Первоначальное заражение начинается с запуска вредоносного ярлыка формата .LNK, который содержится внутри ZIP-архива. Один из примеров — архив под названием «National Intelligence and Counterintelligence Manuscript.zip». Его структура включает в себя .LNK-файл увеличенного размера (свыше 50 МБ), в который зашиты документы-приманки и закодированные компоненты: shellcode (ttf01.dat), PowerShell-скрипт (ttf02.dat) и пакетный файл (ttf03.bat).
При запуске файла активируется PowerShell, который применяет однобайтовый XOR с ключом 0x33, расшифровывая 32-битный shellcode. Последующий этап включает внедрение второго уровня зашифрованного кода, который расшифровывается по смещению 0x590 с использованием ключа 0xAE. После этого образуется исполняемый файл, содержащий ссылки на отладочную информацию, например, путь «D:\Work\Util\InjectShellcode\Release\InjectShellcode.pdb».
Расшифрованный фрагмент затем внедряется в легитимные процессы Windows, такие как «mspaint.exe» или «notepad.exe», находящиеся в директории SysWOW64. В рамках этой процедуры создаётся виртуальная память, в которую записываются блоки данных объёмом около 892 928 байт. Их повторно расшифровывают с помощью XOR, теперь уже с ключом 0xD6. На этом этапе активируется основная часть RoKRAT.
Файл не сохраняется на диск, что значительно затрудняет анализ после факта заражения. Признаки принадлежности к APT37 включают временные метки файлов, например, 21 апреля 2025 года в 00:39:59 UTC, и уникальные конструкции вроде «–wwjaughalvncjwiajs–».
Существенное нововведение заключается в применении стеганографии. Вредоносный загрузчик RoKRAT внедряется в изображение JPEG, такое как «Father.jpg», размещённое на Dropbox. Этот файл сохраняет валидный заголовок Exif, но начиная со смещения 0x4201 содержит закодированный shellcode. Для извлечения применяется двойное XOR-преобразование: сначала с ключом 0xAA, затем с 0x29. После этого RoKRAT загружается напрямую в память и выполняется без следов на файловой системе.
Для запуска вредоносного DLL-файла используются техники боковой загрузки через легитимные утилиты, например, ShellRunas.exe или AccessEnum.exe, которые встраиваются в документы формата HWP. Загрузки происходят с облачных платформ, в том числе Dropbox, pCloud и Яндекс.Диск, с использованием API и просроченных токенов доступа, например: «hFkFeKn8jJIAAAAAAAAAAZr14zutJmQzoOx-g5k9SV9vy7phb9QiNCIEO7SAp1Ch».
Кроме сбора системной информации и документов, RoKRAT делает скриншоты и пересылает их на внешние серверы. Последние образцы, датированные июлем 2025 года, распространяются под видом ярлыков вроде «Academy Operation for Successful Resettlement of North Korean Defectors in South Korea.lnk». Эти версии уже используют «notepad.exe» как целевой процесс для внедрения, а внутри кода указываются новые пути, такие как «D:\Work\Weapon», что свидетельствует о продолжающейся доработке инструментария.
Для защиты от подобных атак важную роль играет использование систем обнаружения и реагирования на конечных точках (EDR). Эти решения отслеживают необычную активность, включая инъекции кода и сетевые соединения с облачными API. Визуализация через EDR позволяет выстроить всю цепочку атаки — от запуска LNK до передачи данных на командный сервер, а также быстро изолировать угрозу по методологии MITRE ATT&CK.
