Trojan umożliwiający uzyskanie zdalnego dostępu (Remote Access Trojan – RAT) jest od kilku lat wykorzystywany do ataków opartych na popularnym w Korei Południowej edytorze tekstu w języku koreańskim, a w szczególności do naruszania dokumentów Hangul Office (.HWP).
W przeszłości złośliwe oprogramowanie było wykorzystywane w kampaniach phishingowych, które zwabiły ofiary poprzez e-maile zawierające załączniki o tematyce politycznej – takie jak zjednoczenie Korei i północnokoreańskie prawa człowieka.
RokRat jest uważany za dzieło APT37, znane również jako ScarCruft, Reaper i Group123. Aktywna co najmniej od 2012 roku grupa (Advanced Persistent Threat group – APT) jest prawdopodobnie sponsorowana przez państwo, a jej potencjalnym zadaniem jest atakowanie podmiotów mających wartość dla północnokoreańskiej partii rządzącej.
Według badacza bezpieczeństwa Malwarebytes, Hosseina Jaziego, podczas gdy poprzednie kampanie koncentrowały się na wykorzystywaniu plików .HWP, nowa próba dokumentu phishingowego przypisanego do APT37 ujawnia, że taktyka grupy jest bardzo zmienna.
W opublikowanym w tym tygodniu wpisie na blogu, firma zajmująca się bezpieczeństwem cybernetycznym opisała odkrycie nowego, złośliwego dokumentu, który został wgrany do Virus Total 7 grudnia. Plik próbny twierdzi, że jest to prośba o spotkanie z początku 2020 r., co sugeruje, że ataki miały miejsce w ciągu ostatniego roku.
Malwarebytes twierdzi, że zawartość pliku wskazuje również na to, że został on „wykorzystany do ataku na rząd Korei Południowej”.
Wbudowane makro wykorzystuje technikę autodekodowania VBA do pamięci Microsoft Office. Oznacza to, że złośliwe oprogramowanie nie musi zapisywać się na dysku.
Po zainfekowaniu pakietu Microsoft Office, program umieszcza w Notatniku wariant RokRat. Według Malwarebytes, technika ta pozwala na ominięcie „kilku mechanizmów zabezpieczających” przy niewielkim wysiłku.
Aby obejść zabezpieczenia Microsoftu, które uniemożliwiają dynamiczne wykonywanie makra, napastnicy muszą najpierw ominąć model obiektowy VB (VBOM), modyfikując wartości rejestrów.
Złośliwe makro sprawdza, czy można uzyskać dostęp do VBOM-u i w razie potrzeby próbuje ustawić klucz rejestru VBOM-u na jeden. W zależności od wyników tego sprawdzenia, np. jeśli konfiguracja VBOM została już pominięta, zawartość makra może zostać również zamaskowana, usunięta, a następnie wykonana w pamięci.
Główną funkcją ładowania jest stworzenie modułu wykorzystującego shellcode do przejęcia Notatnika przed wywołaniem szyfrowanego pliku hostowanego na dysku Google, który zawiera RokRat.
Po zainstalowaniu na zagrożonej maszynie, RokRat skupi się na zbieraniu danych z systemu zanim zostaną one wysłane na kontrolowane przez napastnika konta z usługami w chmurze, takimi jak Pcloud, Dropbox, Box i Yandex. Złośliwe oprogramowanie jest w stanie kraść pliki, robić zrzuty ekranu, przechwytywać dane uwierzytelniające i manipulować przy katalogach plików.
Hello there! Do you use Twitter? I’d like to follow you if that would be okay.
I’m definitely enjoying your blog and look forward
to new updates.
Hi, yes – you can follow us on Twitter – @IdalertM