Eine jüngste Kampagne, die der nordkoreanischen Gruppe namens APT37 (auch ScarCruft genannt) zugeschrieben wird, ersetzt auf dem Tisch, wie Angreifer klassisches Social Engineering mit zunehmend anspruchsvollen Techniken kombinieren, um Malware in Netzwerke und Geräte einzuführen. Laut einer von der südkoreanischen Firma Genians veröffentlichten technischen Analyse nutzten die Betreiber Facebook-Konten, um eine Vertrauensbeziehung mit ihren Opfern zu schaffen und diese Interaktion in den Lieferpfad eines Remote-Access-Trojaners namens RokRAT zu verwandeln. Sie können das Unternehmen hinter der Analyse auf seiner offiziellen Website konsultieren: Generelles Sicherheitszentrum.
Der Eingabemechanismus war keine direkte Explosion oder eine Massenpost, sondern eher sozialer und gerichtet: Die Angreifer erstellten falsche Profile, die die Nähe und die Interessen der Opfer vorgaben, und zogen dann das Gespräch zu privaten Messaging-Anwendungen, wo es einfacher war, Dateien auszutauschen. Die Taktik des Aufbaus einer glaubwürdigen Geschichte - was in Cybersicherheit heißt Vorwand - erlaubte ihnen, die Ziele zu überzeugen, einen PDF-Viewer zu installieren, der angeblich notwendig ist, um verschlüsselte Militärdokumente zu öffnen. Eigentlich war dieser "Viewer" eine manipulierte Version von legitimer Software.
Das Stück, das die technische Tür zum Eingriff öffnete, war ein kaputter Installer eines realen Programms, um PDFs zu lesen und zu bearbeiten. In diesem Fall war es eine verfälschte Variante von Wondershare PDFemcent, einem bekannten kommerziellen Paket, das das Opfer als harmlos wahrnehmen würde. Der modifizierte Installer ausgeführt schädlichen Code zu Beginn eingebettet, die den Angreifern einen ersten persistenten Zugriff auf die betroffene Maschine bot. Wenn Sie die erwähnte legitime Software sehen möchten, steht sie auf der offiziellen Website zur Verfügung: Das neue PDF-Element.
Eine technische Neugier der Kampagne ist die bewusste Nutzung der legitimen Infrastruktur, die zur Verwaltung des Befehls- und Kontrollkanals (C2) verpflichtet ist. Nach der Untersuchung nutzten die Betreiber eine mit einem Immobilieninformationsdienst verbundene reale Website, um Anweisungen zu erteilen und zusätzliche Nutzlasten herunterzuladen. Darüber hinaus kam die zweite Stufe der Infektionskette nicht als herkömmliche ausführbar, sondern wurde in einer JPG-Datei mit der Endlast von RokRAT getarnt. Diese Strategie nutzt Vertrauen in legitime Ressourcen und die Tarnung von Erweiterungen, um die automatische Erkennung schwierig zu machen.
RokRAT ist in den Arsenalen der nordkoreanischen Akteure nicht neu und wurde bereits bei früheren Operationen beobachtet. Externe Forscher haben dokumentiert, wie diese Art von Malware zentrale Fähigkeiten wiederverwendet, aber kontinuierlich seine Liefer- und Evasionsmethoden modifiziert. In früheren Kampagnen wurde beschrieben, dass Malware legitime Cloud-Dienste als Kanäle verwendet, um seinen Kontrollverkehr zu verbergen, was hilft, traditionelle Kontrollen zu vermeiden. Ein detailliertes Beispiel für die Verwendung von Cloud-Diensten als C2-Vektor wurde von Zscaler ThreatLabz in einer im Jahr 2026 veröffentlichten Forschung dokumentiert, die ähnliche Techniken analysierte und die Verwendung von legitimen Plattformen zur Tarnung von schädlichen Kommunikation hervorgehoben; Sie können die Zscaler-Forschungsdatei hier überprüfen: Zscaler ThreatLab.
Aus betrieblicher Sicht folgten die Angreifer einem bewussten Fluss: Identifikation und Abschirmung von Zielen durch Profile mit falscher Geolokation, Vertrauensaufbau durch Messaging, Lieferung einer komprimierten Datei (ZIP) mit Anweisungen und einem handgehaltenen Installer, Ausführung des eingebetteten Codes, der den C2-Server kontaktiert und schließlich die als Bild maskierte endgültige Nutzlast herunterlädt. Die Beharrlichkeit und Fähigkeiten des Trojaners umfassen Bildschirmerfassung, Remote-Befehlsausführung (z.B. mit cmd.exe), Systeminformationen Sammlung und Techniken, um zu versuchen, bestimmte Sicherheitsprodukte zu umgehen, die im Endpunkt sein können. Um Kontext über die Popularität einiger Lösungen und ihre Präsenz auf dem Markt zu geben, bietet Qihoo 360 ein Produkt namens 360 Total Security: 360 Insgesamt, obwohl Angreifer immer versuchen, Weisen, bestimmte Verteidigungen zu verspotten.
Dieser Vorfall zeigt wieder einige wichtige Lektionen. Erstens, mit legitimer Software als decoy zwingt Organisationen und Benutzer zu misstrauen sogar Installateure, die von bekannten Marken zu kommen scheinen. Zweitens erschwert der Missbrauch einer legitimen Infrastruktur (gemeldete Websites oder Cloud-Dienste) die Erkennung, weil der Netzverkehr normal erscheinen kann. Und drittens legen die Angreifer besonderen Wert auf die menschliche Phase des Angriffs: ohne die anfängliche Täuschung gäbe es keine Ausführung des endgültigen Codes.
Um das Risiko zu minimieren, empfiehlt es sich, technische und pädagogische Steuerungen zu implementieren: Überprüfen Sie immer die Quelle von Dateien und Links, bevorzugen offizielle Vertriebskanäle für die Software, halten Sie die Systeme auf dem neuesten Stand und begrenzen Sie die automatische Ausführung von Installateuren empfangen durch Messaging. In Unternehmensumgebungen können Netzwerksegmentierung, ausgehende Verkehrsinspektion und Dateiblockierung mit verdächtigen Erweiterungen den Umfang einer Infektion reduzieren. Es ist auch wichtig, anormale Verhaltensweisen zu erkennen und zu überwachen, wie Prozesse, die Screenshots oder ungewöhnliche Invokation von cmd.exe nehmen, und klare Verfahren haben, um engagierte Geräte zu isolieren und forensische Analysen durchzuführen.
Wenn Sie daran interessiert sind, das Phänomen von Angreifern zu vertiefen, die als glaubwürdige Akteure und die von ihnen verwendeten Werkzeuge darstellen, veröffentlichen die Seiten von Lieferanten und Forschungszentren nützliche Analysen und Anleitungen. Neben den bereits erwähnten Links, Speicherplattformen und Cloud-Kollaboration als So geht's! Manchmal werden sie von schädlichen Akteuren ausgenutzt, so dass ihre Verwendung in einem C2-Kontext Aufmerksamkeit von Sicherheitsteams verdient.
Kurz gesagt, was sich aus dieser Operation hervorhebt, die APT37 zugeschrieben wird, ist nicht so sehr die Neuheit von Malware, sondern die raffinierte Mischung von menschlichem Betrug, legitimer Software-Manipulation und zuverlässiger Infrastruktur Missbrauch. Diese Kombination macht die reaktiven Abwehrkräfte unzureichend: die beste Antwort ist eine Politik, dass eine präzise Technologie mit kontinuierlicher Schulung und Verfahren, die den ersten Klick erschwert, der die Tür zum Angreifer öffnet.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...