Мислехте, че JPEG е безопасен? APT37 доказа обратното – с едно изображение
Антивирусната стратегия вижда чиста фотография, само че вътре има шпионски вирус от Ким Чен Ун.
Специалистите от Центъра за сигурност на Genians откриха усъвършенствана версия на зловредния програмен продукт RoKRAT, който е обвързван със севернокорейската група APT37. Новата трансформация се характеризира с необикновен метод за скриване на злотворен код – в тялото на елементарните JPEG изображения. Този метод заобикаля обичайните антивирусни системи, защото зловредната функционалност не се записва непосредствено на диска, а се извлича в оперативната памет.
Първоначалното заразяване стартира със пускане на злотворен.LNK шорткът, съдържащ се в ZIP списък. Такъв образец е списък, наименуван „ National Intelligence and Counterintelligence Manuscript.zip “ (Ръкопис на националното разузнаване и контраразузнаване). Структурата му включва свръхголям.LNK файл (над 50 МВ), който съдържа документи за стръв и кодирани съставни елементи: код на обвивката (ttf01.dat), скрипт на PowerShell (ttf02.dat) и пакетен файл (ttf03.bat).
Стартирането на файла задейства PowerShell, който ползва еднобайтова XOR с ключ 0x33, декриптирайки 32-битовия шел код. Следващата стъпка включва използване на второ равнище на криптиран шелкод, който се декриптира при отместване 0x590 благодарение на ключа 0xAE. След това се генерира осъществим файл, съдържащ препратки към информация за премахване на неточности, да вземем за пример към пътя „ D:WorkUtilInjectShellcodeReleaseInjectShellcode.pdb “.
След това декриптираният откъс се инжектира в законните процеси на Windows, като да вземем за пример „ mspaint.exe “ или „ notepad.exe “, намиращи се в директорията SysWOW64. Като част от тази процедура се основава виртуална памет, в която се записват блокове с данни от към 892 928 байта. Те се декриптират още веднъж благодарение на XOR, само че в този момент с ключ 0xD6. На този стадий се задейства главната част на RoKRAT.
Файлът не се записва на диска, което прави последващия разбор доста по-труден. Признаците за принадлежност към APT37 включват времевите маркери на файла, да вземем за пример 21 април 2025 година в 00:39:59 UTC, и неповторими структури като „ -wwjaughalvncjwiajs- “.
Съществено изобретение е потреблението на стеганография. Злонамереният даунлоудър RoKRAT се инжектира в JPEG изображението, да вземем за пример „ Father.jpg “, хоствано в Dropbox. Този файл резервира годен Exif хедър, само че започвайки от отместване 0x4201, съдържа кодиран шел код. За извличането му се ползва двойна XOR промяна: първо с ключа 0xAA, а по-късно с 0x29. След това RoKRAT се зарежда непосредствено в паметта и се извършва без следи във файловата система.
За пускане на зловредния DLL файл се употребяват техники за прикрито зареждане посредством законни помощни стратегии, като ShellRunas.exe или AccessEnum.exe, които са вградени в документи във формат HWP. Изтеглянията идват от облачни платформи, в това число Dropbox, pCloud и Yandex.Disk, като се употребяват API и токени за достъп с изминал период, като напр: „ hFkFeKn8jJIAAAAAAAAAAAAAAAZr14zutJmQzoOx-g5k9SV9vy7phb9QiNCIEO7SAp1Ch “.
В допълнение към събирането на систематична информация и документи RoKRAT прави скрийншоти и ги препраща към външни сървъри. Последните мостри, датирани от юли 2025 година, се популяризират под прикритието на етикети като „ Academy Operation for Successful Resettlement of North Korean Defectors in South Korea.lnk “. Тези версии към този момент употребяват „ notepad.exe “ като целеви развой за инжектиране, а в кода са посочени нови пътища като „ D:WorkWeapon “, което демонстрира, че комплектът принадлежности към момента се усъвършенства.
За отбрана от такива офанзиви значима роля играе потреблението на системи за разкриване и реагиране на крайните точки (Endpoint Detection and Response – EDR). Тези решения наблюдават за необикновена интензивност, в това число инжектиране на код и мрежови връзки към API в облака. Визуализацията посредством EDR разрешава да се онагледи цялата верига на офанзивата – от стартирането на LNK до изпращането на данните към сървъра за ръководство и надзор, като опасността може бързо да бъде изолирана благодарение на методологията MITRE ATT&CK.
Като се имат поради все по-усъвършенстваните способи на APT групите, учредени на отказване на файлове и прикрито прекачване на данни, е ясно, че обичайните отбрани, основани на сигнатури, към този момент не могат да се оправят. Особено като се има поради, че системите на Windows в Южна Корея и други страни в района са обект на точно такива офанзиви.
