RokRATマルウェア
北朝鮮の脅威グループAPT37(別名ScarCruft)は、Facebookを通じたソーシャルエンジニアリングを利用した、高度な多段階サイバー攻撃に関与していることが明らかになった。攻撃者はまず友達リクエストを送信して接触を開始し、徐々に信頼関係を築いた後、そのやり取りをマルウェア配信チャネルへと転換させる。この周到に計算された操作によって、最終的にリモートアクセス型トロイの木馬RokRATの展開が可能となる。
目次
武器の選択:RokRATの進化
RokRATは依然としてこのグループが使用する主要なマルウェアであり、macOSやAndroidなどのプラットフォームに対応するなど、時間の経過とともに大きく進化を遂げてきた。その継続的な開発は、彼らが継続的に運用投資を行っていることを示している。
このマルウェアは、以下のような幅広い悪意のある活動を実行する能力を持っています。
- 認証情報の窃盗および機密データの漏洩
- スクリーンショットのキャプチャとシステム偵察
- コマンドとシェルコードの実行
- ファイルとディレクトリの操作
初期の亜種は、その活動を隠蔽するために、盗んだデータをMP3ファイル形式で保存していた。さらに、RokRATはDropbox、Microsoft OneDrive、pCloud、Yandex Cloudといった正規のクラウドプラットフォームを経由してデータをルーティングすることで、コマンド&コントロール(C2)通信を偽装している。
信頼を攻撃手段として利用する:ソーシャルメディアの操作
このキャンペーンは、平壌と平城を拠点とする偽のFacebookアカウントを作成することから始まる。これらのアカウントは、潜在的な被害者を特定し、評価するために使用される。つながりが確立されると、会話はMessengerに移行し、そこで慎重に選ばれた話題が持ち出され、信頼関係とエンゲージメントが深まる。
重要な戦術の一つは、標的を騙して特殊なPDFビューアをインストールさせるというものです。暗号化された軍事文書にアクセスするために必要だと偽ってインストールを促します。提供されるアプリケーションは、悪意のあるシェルコードが埋め込まれたWondershare PDFelementの改変版です。このインストーラーが実行されると、攻撃者に初期システムアクセス権が付与され、侵害が開始されます。
多層的な欺瞞:高度な配達および回避技術
この攻撃チェーンは、複数の回避戦略を組み合わせることで、高度な洗練度を示している。
- トロイの木馬が仕込まれた正規ソフトウェアを使用して疑いを回避する
- 侵害されたものの信頼できるウェブインフラストラクチャをC2作戦に悪用する
- 悪意のあるペイロードをJPG画像などの無害なファイルに偽装する
特筆すべきは、攻撃者が日本の不動産会社のソウル支店に関連する侵害されたウェブサイトを利用して、コマンドとペイロードを配布した点である。第2段階のペイロードは無害な画像ファイルとして表示され、最終的なRokRATの展開を隠蔽している。
多段階実行:社会的接触から完全な妥協まで
攻撃シーケンスは、複数の連携した段階を経て進行します。攻撃者は、2025年11月10日に「richardmichael0828」と「johnsonsophia0414」という名前のFacebookアカウントを作成しました。信頼関係を築いた後、通信はTelegramにリダイレクトされ、被害者はそこで悪意のあるPDFビューア、偽の文書、およびインストール手順を含むZIPアーカイブを受け取ります。
改ざんされたインストーラーを実行すると、暗号化されたシェルコードが起動し、C2ドメインに接続して、JPG画像ファイルに偽装された二次ペイロードを取得します。このファイルは最終的に、RokRATマルウェアの完全版を配信します。
クラウドベースのコマンド&コントロール:正規のトラフィックに紛れ込む
RokRATは、C2インフラストラクチャの一部としてZoho WorkDriveを悪用することで、ステルス性をさらに強化しています。この手法は、2026年初頭に確認された「Ruby Jumper」キャンペーンでも見られました。この手法により、マルウェアはスクリーンショットの取得、システムシェルを介したリモートコマンドの実行、ホストデータの収集、セキュリティ回避などの機能を実行します。
戦略的重点:機能の安定性、提供方法の革新
RokRATの中核となる機能は作戦全体を通してほぼ一貫しているものの、その配信メカニズムと回避戦術は進化を続けている。この戦略的な重点は、マルウェアの基本的な機能を変更するのではなく、感染経路とステルス技術の向上に意図的に注力していることを示している。
