- Nhóm tấn công APT ScarCruft hay còn được biết đến với tên gọi là APT37 của Triều Tiên đã sử dụng các tệp LNK mở rộng làm phương thức phát tán mã độc RokRAT kể từ tháng 7 năm 2022.

Trong các cuộc tấn công gần đây, RokRAT nhằm mục tiêu chính vào các cá nhân có liên hệ với Triều Tiên, bao gồm các học giả, tiểu thuyết gia, doanh nhân được cho là đang hỗ trợ tài chính cho Triều Tiên.

Nhóm này đã sử dụng kỹ thuật tấn công thông qua tệp LNK kích hoạt chuỗi lây nhiễm bằng một cú nhấp chuột đơn giản, trong đó các tệp sử dụng lệnh PowerShell để triển khai RokRAT.

Ngoài ra, trong cuộc tấn công được ghi nhận vào tháng 01/2021, nhóm APT ScarCruft đã sử dụng macro trong Word để phát tán mã độc.

Mã độc RokRAT được thiết kế nhằm thực hiện nhiều hành động trái phép như thu thập thông tin chi tiết hệ thống, lọc dữ liệu, chụp ảnh màn hình, đánh cắp thông tin đăng nhập, thực thi lệnh và shellcode đồng thời quản lý tệp/thư mục.

Những thông tin trái phép được lưu dưới dạng MP3 sau đó được tải lên các dịch vụ đám mây như Dropbox, OneDrive, pCloud và Yandex Cloud để che giấu thông tin liên quan đến C&C. Mã độc có khả năng nhằm mục tiêu vào macOS (CloudMensis) và Android (RambleOn).

ScarCruft được biết đến như một mối đe dọa đối với nhiều chiến dịch tấn công, đồng thời liên tục được nâng cấp các kỹ thuật tấn công nhằm phát tán mềm độc hại. Để giảm thiểu nguy cơ bị tấn công mạng, các cá nhân, doanh nghiệp nên kiểm tra trước khi truy cập vào bất kỳ đường link nào, thường xuyên sử dụng công cụ quét virus để sớm phát hiện và loại bỏ các phần mềm độc hại trên thiết bị của mình.

PV