Security Centerは、実在の学術イベント資料を悪用してRokRATのリモートアクセス型トロイの木馬を配布する標的型スピアフィッシングキャンペーン「Operation Capsule Vault」を発見しました。
この活動は、北朝鮮と関係が深いとされる脅威グループAPT37と関連している可能性が非常に高いと評価されています。キャンペーンは研究、政策、学術分野の人物を標的としていました。
攻撃者は、202612121212121212に韓国・ソウルのCOEXで開催された実在のカンファレンス「Why Wonsan-Kalma Tourism Now?」の資料配布を装いました。
架空のイベントをでっち上げるのではなく、攻撃者はタイトル、テーマ、主催者情報など、公開されている実際のイベント情報を流用することで、受信者にとって信憑性の高い偽装を作り上げていました。
ISOファイルの名前はセミナー資料の冊子を思わせるものでした。その中には、PDF文書に見せかけた別のファイルが含まれていました。
しかし、このファイルは実際にはPIF(Program Information File)であり、最近のWindowsシステムでも実行可能な形式でした。
Windowsは既知のファイル形式の拡張子を通常非表示にするため、.pdf.pifで終わるファイル名は被害者の目には無害なPDFのように映ってしまいます。
Geniansによると、この実行ファイルには正規のPDFデコイと悪意あるペイロードの両方が含まれていたとのことです。
開くと実際の学術イベント資料が表示され、被害者にファイルが本物であると信じ込ませます。同時に、バックグラウンドでマルウェアを密かに展開・実行します。
このローダーは、EMBED_PAYLOAD_v2という文字列でマークされた埋め込みペイロード形式を使用しています。
そのペイロードテーブルには2つのオブジェクトが含まれています。無害なPDFと、yanfirst64.binとして保存されたシェルコードコンポーネントです。シェルコードはメモリ上で完全に復元されるため、感染の痕跡となりうるディスク上の証拠が減らされています。
研究者はさらに、このPIFファイルが202666666に開催されたイベントに関連する資料を内包しているにもかかわらず、ビルドのタイムスタンプが2025年10月のものであることを発見しました。
この食い違いから、フォレンジック分析を困難にするためにタイムスタンプが意図的に改ざんされた可能性が示唆されます。0x29のXORキーで埋め込みシェルコードを復号した後、マルウェアはexplorer.exeを特定します。
そして、最終的なペイロードをこの正規のWindowsプロセスに注入します。CreateToolhelp32Snapshot、OpenProcess、VirtualAllocEx、WriteProcessMemory、RtlCreateUserThreadといったAPIを使用して、リモートメモリの確保と悪意あるスレッドの作成を行います。
このマルウェアは、コマンドの受信、スクリーンショットの取得、ドライブやプロセスの列挙、シェルコマンドの実行、そして文書の窃取が可能です。
標的とするファイルの既定の拡張子には、.XLS、.DOC、.PPT、.TXT、.M4A、.AMR、.PDF、.HWPが含まれます。一部のペイロードはメモリ上から直接実行される一方、他は%TEMP%\KB400928_doc.exeというファイル名で書き込まれます。これは以前からRokRATの活動に関連付けられているファイル名です。
Geniansは、過去のRokRATサンプルとのコードの類似性、共通のクラウドC2設計、Yandexインフラの再利用、そして同グループが過去に文書化したOperation Artemisの活動との重複を根拠に、このキャンペーンをAPT37に関連付けています。あるYandexアカウント「philp. stwart」も、過去のキャンペーンで確認されていました。
組織は、クラウド共有リンク経由で配布されるISOファイル、文書を装ったPIF実行ファイル、explorer.exeにおける想定外のリモートスレッド作成、そして不審な文書実行後にクラウドストレージAPIへ接続するエンドポイントの動きを監視すべきです。
ファイル拡張子を常に表示する設定にすることや、PIFの実行をブロックまたは厳格に制御することも、被害の抑制につながります。
注: IPアドレスおよびドメインは、意図せぬ名前解決やハイパーリンク化を防ぐため、意図的にディフォーマット(無害化)されています(例: [.])。再フォーマットは、MISP、VirusTotal、あるいは各組織のSIEMなど、管理された脅威インテリジェンス基盤内でのみ行ってください。
翻訳元: https://cyberpress.org/rokrat-abuses-academic-pdfs/