Этот метод позволяет вредоносному ПО обходить традиционные антивирусные обнаружения путем внедрения зашифрованного шелл-кода в данные изображения, который затем декодируется и выполняется в памяти.
Распространяясь в основном через вредоносные файлы ярлыков (.LNK), скрытые в архивах ZIP, например, один из них маскируется под «National Intelligence and Counterintelligence Manuscript.zip», и цепочка атак начинается с больших LNK-файлов , размер которых часто превышает 50 МБ из-за встроенных поддельных документов и закодированных компонентов, таких как шелл-код (ttf01.dat), скрипты PowerShell (ttf02.dat) и пакетные файлы (ttf03.bat).
Развивающийся вариант RoKRAT от APT37
После выполнения пакетный скрипт вызывает PowerShell для выполнения расшифровки XOR с использованием однобайтового ключа (0x33), что открывает 32-битный блок шелл-кода, который внедряет дополнительные полезные данные в легитимные процессы Windows.
Этот двухэтапный метод внедрения зашифрованного шелл-кода затрудняет обратную разработку, поскольку начальная операция XOR по смещению 0x590 использует ключ типа 0xAE, преобразуя данные в исполняемый файл, который ссылается на пути PDB, такие как «D:\Work\Util\InjectShellcode\Release\InjectShellcode.pdb».
Затем вредоносная программа выделяет виртуальную память в процессах, таких как mspaint.exe или notepad.exe из каталога SysWOW64, записывая расшифрованные блоки данных (например, 892 928 байт) и применяя дополнительные процедуры XOR с ключами, такими как 0xD6, для раскрытия основного модуля RoKRAT.
Такой подход без использования файлов гарантирует минимальные следы на диске, что затрудняет криминалистический анализ, в то время как временная метка вредоносной программы (например, 2025-04-21 00:39:59 UTC) и уникальные строки, такие как «–wwjaughalvncjwiajs–», подтверждают ее связь с арсеналом APT37.
Облачные каналы C2
В заметном развитии APT37 интегрирует стеганографию, скрывая загрузчики RoKRAT в файлах JPEG, таких как «Father.jpg», загруженных с Dropbox, где вредоносные DLL-библиотеки, такие как mpr.dll или credui.dll, загружаются через легитимные исполняемые файлы (например, ShellRunas.exe или AccessEnum.exe), встроенные в документы HWP.
Ресурс JPEG с именем «MYIMAGEFILE» начинается с корректного заголовка Exif, но скрывает шелл-код по смещению 0x4201 после операции XOR с ключом 0xAA, за которой следует вторичная операция XOR с ключом 0x29 для извлечения полезной нагрузки RoKRAT . Это обеспечивает бесперебойное выполнение в памяти, обходя защиту конечных точек.
Функционально RoKRAT собирает системную информацию, документы и снимки экрана, передавая их через злоупотребляемые облачные API, такие как api.pcloud.com, cloud-api.yandex.net и api.dropboxapi.com, используя отозванные токены доступа, такие как «hFkFeKn8jJIAAAAAAAAAAZr14zutJmQzoOx-g5k9SV9vy7phb9QiNCIEO7SAp1Ch».
Учетные записи C2, связанные с адресами электронной почты типа «nusli.vakil@yandex.com» и «leon24609@gmail.com», раскрывают особенности работы российских почтовых сервисов и потенциальные связи с LinkedIn, что перекликается с предыдущими операциями APT37.
Варианты от июля 2025 года, как, например, замаскированный под «Операция Академии по успешному переселению северокорейских перебежчиков в Южную Корею.lnk», переходят на инъекцию notepad.exe и ссылаются на пути PDB в «D:\Work\Weapon», что указывает на продолжающуюся доработку инструмента.
Согласно отчету , для противодействия этим угрозам решающее значение имеют эффективные решения по обнаружению и реагированию на конечные точки (EDR), предлагающие мониторинг в режиме реального времени аномального поведения, такого как внедрение процессов, выполнение скриптов и исходящие облачные соединения.
Визуализация EDR помогает отображать потоки атак — от выполнения LNK до утечки C2, обеспечивая быструю изоляцию и классификацию угроз в рамках фреймворков MITRE ATT&CK.
Поскольку RoKRAT упорно обходит защиту на основе сигнатур с помощью бесфайловой тактики и стеганографии, организациям следует отдать приоритет EDR для упреждающего отслеживания, подчеркивая растущую изощренность спонсируемых государством северокорейских киберопераций, нацеленных на экосистемы Windows в Южной Корее и за ее пределами.
