قدم باحثو الأمن السيبراني نظرة فاحصة على حصان طروادة RokRAT الذي يعمل عن بعد والذي يستخدمه الممثل الكوري الشمالي الذي ترعاه الدولة والمعروف باسم ScarCruft. قراصنة ScarCruft الكوريون
قال ThreatMon: “RokRAT عبارة عن حصان طروادة متطور للوصول عن بُعد (RAT) تم رصده كمكون حاسم في سلسلة الهجوم. مما يمكّن الجهات الفاعلة في التهديد من الوصول غير المصرح به. وتسلل المعلومات الحساسة. وربما الحفاظ على السيطرة المستمرة على الأنظمة المخترقة”.
ScarCruft ، التي تنشط منذ عام 2012 على الأقل. هي مجموعة تجسس إلكتروني تعمل نيابة عن حكومة كوريا الشمالية. وتركز حصريًا على أهداف في نظيرتها الجنوبية.
يُعتقد أن المجموعة عنصر ثانوي داخل وزارة أمن الدولة في كوريا الشمالية (MSS). اعتمدت سلاسل الهجوم التي شنتها المجموعة بشكل كبير على الهندسة الاجتماعية لخداع الضحايا الاحتيالي وتسليم الحمولات على الشبكات المستهدفة.
قراصنة ScarCruft الكوريون يستغلون ملفات LNK لنشر RokRAT
يتضمن ذلك استغلال الثغرات الأمنية في Hancom’s Hangul Word Processor (HWP). وهو برنامج إنتاجي يستخدم على نطاق واسع من قبل المؤسسات العامة والخاصة في كوريا الجنوبية. لتقديم البرامج الضارة التي تحمل توقيعها والتي يطلق عليها اسم RokRAT.
يتم تطوير وصيانة الباب الخلفي لنظام Windows. والذي يُطلق عليه أيضًا DOGCALL ، بشكل نشط وصيانته. ومنذ ذلك الحين تم نقله إلى أنظمة تشغيل أخرى مثل macOS و Android.
استخدمت هجمات التصيد بالرمح الأخيرة. كما يتضح من مركز الاستجابة للطوارئ الأمنية AhnLab (ASEC) و Check Point. ملفات LNK لتشغيل تسلسلات عدوى متعددة المراحل تؤدي في النهاية إلى نشر برنامج RokRAT الضار.
يسمح RokRAT للخصم بحصاد البيانات الوصفية للنظام. والتقاط لقطات شاشة. وتنفيذ الأوامر التعسفية الواردة من خادم بعيد. وتعداد الأدلة. واستخراج الملفات ذات الأهمية.
يأتي هذا التطوير في الوقت الذي كشفت فيه ASEC عن هجوم ScarCruft الذي يستفيد من تنكر Windows القابل للتنفيذ كمستند Hangul لإسقاط البرامج الضارة التي تم تكوينها للاتصال بعنوان URL خارجي كل 60 دقيقة.
أشار ASEC إلى أن “عنوان URL المسجل في برنامج جدولة المهام يبدو أنه صفحة رئيسية عادية. ولكنه يحتوي على غلاف ويب”. قراصنة ScarCruft الكوريون