Как Северная Корея скрывает вредоносное ПО в файлах JPEG для атак на системы Windows в обход систем обнаружения
Добавлено: 02 авг 2025, 20:07
Исследователи безопасности из Genians Security Center обнаружили новый сложный вариант вредоносного ПО RoKRAT, приписываемого связанной с Северной Кореей группировке угроз APT37, которая использует стеганографию для сокрытия вредоносных данных в, казалось бы, безобидных файлах изображений JPEG.
Этот метод позволяет вредоносному ПО обходить традиционные антивирусные обнаружения путем внедрения зашифрованного шелл-кода в данные изображения, который затем декодируется и выполняется в памяти.
Распространяясь в основном через вредоносные файлы ярлыков (.LNK), скрытые в архивах ZIP, например, один из них маскируется под «National Intelligence and Counterintelligence Manuscript.zip», и цепочка атак начинается с больших LNK-файлов , размер которых часто превышает 50 МБ из-за встроенных поддельных документов и закодированных компонентов, таких как шелл-код (ttf01.dat), скрипты PowerShell (ttf02.dat) и пакетные файлы (ttf03.bat).
Развивающийся вариант RoKRAT от APT37
После выполнения пакетный скрипт вызывает PowerShell для выполнения расшифровки XOR с использованием однобайтового ключа (0x33), что открывает 32-битный блок шелл-кода, который внедряет дополнительные полезные данные в легитимные процессы Windows.
Этот двухэтапный метод внедрения зашифрованного шелл-кода затрудняет обратную разработку, поскольку начальная операция XOR по смещению 0x590 использует ключ типа 0xAE, преобразуя данные в исполняемый файл, который ссылается на пути PDB, такие как «D:\Work\Util\InjectShellcode\Release\InjectShellcode.pdb».
Затем вредоносная программа выделяет виртуальную память в процессах, таких как mspaint.exe или notepad.exe из каталога SysWOW64, записывая расшифрованные блоки данных (например, 892 928 байт) и применяя дополнительные процедуры XOR с ключами, такими как 0xD6, для раскрытия основного модуля RoKRAT.
Такой подход без использования файлов гарантирует минимальные следы на диске, что затрудняет криминалистический анализ, в то время как временная метка вредоносной программы (например, 2025-04-21 00:39:59 UTC) и уникальные строки, такие как «–wwjaughalvncjwiajs–», подтверждают ее связь с арсеналом APT37.
Облачные каналы C2
В заметном развитии APT37 интегрирует стеганографию, скрывая загрузчики RoKRAT в файлах JPEG, таких как «Father.jpg», загруженных с Dropbox, где вредоносные DLL-библиотеки, такие как mpr.dll или credui.dll, загружаются через легитимные исполняемые файлы (например, ShellRunas.exe или AccessEnum.exe), встроенные в документы HWP.
Ресурс JPEG с именем «MYIMAGEFILE» начинается с корректного заголовка Exif, но скрывает шелл-код по смещению 0x4201 после операции XOR с ключом 0xAA, за которой следует вторичная операция XOR с ключом 0x29 для извлечения полезной нагрузки RoKRAT . Это обеспечивает бесперебойное выполнение в памяти, обходя защиту конечных точек.
Функционально RoKRAT собирает системную информацию, документы и снимки экрана, передавая их через злоупотребляемые облачные API, такие как api.pcloud.com, cloud-api.yandex.net и api.dropboxapi.com, используя отозванные токены доступа, такие как «hFkFeKn8jJIAAAAAAAAAAZr14zutJmQzoOx-g5k9SV9vy7phb9QiNCIEO7SAp1Ch».
Учетные записи C2, связанные с адресами электронной почты типа «nusli.vakil@yandex.com» и «leon24609@gmail.com», раскрывают особенности работы российских почтовых сервисов и потенциальные связи с LinkedIn, что перекликается с предыдущими операциями APT37.
Варианты от июля 2025 года, как, например, замаскированный под «Операция Академии по успешному переселению северокорейских перебежчиков в Южную Корею.lnk», переходят на инъекцию notepad.exe и ссылаются на пути PDB в «D:\Work\Weapon», что указывает на продолжающуюся доработку инструмента.
Согласно отчету , для противодействия этим угрозам решающее значение имеют эффективные решения по обнаружению и реагированию на конечные точки (EDR), предлагающие мониторинг в режиме реального времени аномального поведения, такого как внедрение процессов, выполнение скриптов и исходящие облачные соединения.
Визуализация EDR помогает отображать потоки атак — от выполнения LNK до утечки C2, обеспечивая быструю изоляцию и классификацию угроз в рамках фреймворков MITRE ATT&CK.
Поскольку RoKRAT упорно обходит защиту на основе сигнатур с помощью бесфайловой тактики и стеганографии, организациям следует отдать приоритет EDR для упреждающего отслеживания, подчеркивая растущую изощренность спонсируемых государством северокорейских киберопераций, нацеленных на экосистемы Windows в Южной Корее и за ее пределами.
Этот метод позволяет вредоносному ПО обходить традиционные антивирусные обнаружения путем внедрения зашифрованного шелл-кода в данные изображения, который затем декодируется и выполняется в памяти.
Распространяясь в основном через вредоносные файлы ярлыков (.LNK), скрытые в архивах ZIP, например, один из них маскируется под «National Intelligence and Counterintelligence Manuscript.zip», и цепочка атак начинается с больших LNK-файлов , размер которых часто превышает 50 МБ из-за встроенных поддельных документов и закодированных компонентов, таких как шелл-код (ttf01.dat), скрипты PowerShell (ttf02.dat) и пакетные файлы (ttf03.bat).
Развивающийся вариант RoKRAT от APT37
После выполнения пакетный скрипт вызывает PowerShell для выполнения расшифровки XOR с использованием однобайтового ключа (0x33), что открывает 32-битный блок шелл-кода, который внедряет дополнительные полезные данные в легитимные процессы Windows.
Этот двухэтапный метод внедрения зашифрованного шелл-кода затрудняет обратную разработку, поскольку начальная операция XOR по смещению 0x590 использует ключ типа 0xAE, преобразуя данные в исполняемый файл, который ссылается на пути PDB, такие как «D:\Work\Util\InjectShellcode\Release\InjectShellcode.pdb».
Затем вредоносная программа выделяет виртуальную память в процессах, таких как mspaint.exe или notepad.exe из каталога SysWOW64, записывая расшифрованные блоки данных (например, 892 928 байт) и применяя дополнительные процедуры XOR с ключами, такими как 0xD6, для раскрытия основного модуля RoKRAT.
Такой подход без использования файлов гарантирует минимальные следы на диске, что затрудняет криминалистический анализ, в то время как временная метка вредоносной программы (например, 2025-04-21 00:39:59 UTC) и уникальные строки, такие как «–wwjaughalvncjwiajs–», подтверждают ее связь с арсеналом APT37.
Облачные каналы C2
В заметном развитии APT37 интегрирует стеганографию, скрывая загрузчики RoKRAT в файлах JPEG, таких как «Father.jpg», загруженных с Dropbox, где вредоносные DLL-библиотеки, такие как mpr.dll или credui.dll, загружаются через легитимные исполняемые файлы (например, ShellRunas.exe или AccessEnum.exe), встроенные в документы HWP.
Ресурс JPEG с именем «MYIMAGEFILE» начинается с корректного заголовка Exif, но скрывает шелл-код по смещению 0x4201 после операции XOR с ключом 0xAA, за которой следует вторичная операция XOR с ключом 0x29 для извлечения полезной нагрузки RoKRAT . Это обеспечивает бесперебойное выполнение в памяти, обходя защиту конечных точек.
Функционально RoKRAT собирает системную информацию, документы и снимки экрана, передавая их через злоупотребляемые облачные API, такие как api.pcloud.com, cloud-api.yandex.net и api.dropboxapi.com, используя отозванные токены доступа, такие как «hFkFeKn8jJIAAAAAAAAAAZr14zutJmQzoOx-g5k9SV9vy7phb9QiNCIEO7SAp1Ch».
Учетные записи C2, связанные с адресами электронной почты типа «nusli.vakil@yandex.com» и «leon24609@gmail.com», раскрывают особенности работы российских почтовых сервисов и потенциальные связи с LinkedIn, что перекликается с предыдущими операциями APT37.
Варианты от июля 2025 года, как, например, замаскированный под «Операция Академии по успешному переселению северокорейских перебежчиков в Южную Корею.lnk», переходят на инъекцию notepad.exe и ссылаются на пути PDB в «D:\Work\Weapon», что указывает на продолжающуюся доработку инструмента.
Согласно отчету , для противодействия этим угрозам решающее значение имеют эффективные решения по обнаружению и реагированию на конечные точки (EDR), предлагающие мониторинг в режиме реального времени аномального поведения, такого как внедрение процессов, выполнение скриптов и исходящие облачные соединения.
Визуализация EDR помогает отображать потоки атак — от выполнения LNK до утечки C2, обеспечивая быструю изоляцию и классификацию угроз в рамках фреймворков MITRE ATT&CK.
Поскольку RoKRAT упорно обходит защиту на основе сигнатур с помощью бесфайловой тактики и стеганографии, организациям следует отдать приоритет EDR для упреждающего отслеживания, подчеркивая растущую изощренность спонсируемых государством северокорейских киберопераций, нацеленных на экосистемы Windows в Южной Корее и за ее пределами.