Los investigadores de seguridad cibernética han ofrecido una mirada más cercana al troyano de acceso remoto RokRAT que es empleado por el actor patrocinado por el estado de Corea del Norte conocido como ScarCruft.
«RokRAT es un troyano de acceso remoto (RAT) sofisticado que se ha observado como un componente crítico dentro de la cadena de ataque, lo que permite a los actores de amenazas obtener acceso no autorizado, filtrar información confidencial y potencialmente mantener un control persistente sobre los sistemas comprometidos», ThreatMon dicho.
ScarCruft, activo desde al menos 2012, es un grupo de espionaje cibernético que opera en nombre del gobierno de Corea del Norte, centrándose exclusivamente en objetivos en su contraparte del sur.
Se cree que el grupo es un elemento subordinado dentro del Ministerio de Seguridad del Estado (MSS) de Corea del Norte. Las cadenas de ataque montadas por el grupo se han apoyado en gran medida en la ingeniería social para atacar a las víctimas con phishing y entregar cargas útiles en las redes de destino.
Esto incluye la explotación de vulnerabilidades en el procesador de textos Hangul (HWP) de Hancom, un software de productividad ampliamente utilizado por organizaciones públicas y privadas en Corea del Sur, para entregar su malware característico denominado RokRAT.
La puerta trasera de Windows, también llamada DOGCALL, se desarrolla y mantiene activamente, y desde entonces se ha portado a otros sistemas operativos como macOS y Android.
Los recientes ataques de phishing selectivo, como lo demuestra el Centro de respuesta a emergencias de seguridad AhnLab (ASEC) y Check Point, han utilizado archivos LNK para desencadenar secuencias de infección en varias etapas que eventualmente resultan en la implementación del malware RokRAT.
🔐 Dominio de la seguridad de API: comprensión de su verdadera superficie de ataque
Descubra las vulnerabilidades sin explotar en su ecosistema de API y tome medidas proactivas hacia una seguridad inquebrantable. ¡Únase a nuestro seminario web perspicaz!
RokRAT le permite al adversario recolectar metadatos del sistema, tomar capturas de pantalla, ejecutar comandos arbitrarios recibidos de un servidor remoto, enumerar directorios y filtrar archivos de interés.
El desarrollo llega como ASEC revelado un ataque de ScarCruft que aprovecha un ejecutable de Windows disfrazado de documento Hangul para lanzar malware que está configurado para contactar una URL externa cada 60 minutos.
«La URL registrada en el programador de tareas parece ser una página de inicio normal, pero contiene un shell web», señaló ASEC.