恶意软件隐藏在无害的图片中，以避免被检测到。

秘密控制服务器通过云API被接管。

加密平台的威胁是凭证盗窃和恶意软件挖掘

朝鲜的APT37组织发布了一个新的恶意软件变种，名为RoKRAT。它使用先进的避险技术来保持隐藏。其隐形方法将恶意代码嵌入到图像文件中。这是因为它使用了一种称为隐写术的技术，因此传统安全工具无法检测到它。

来源 – genians.co.kr 

RoKRAT 执行攻击而不留下文件在磁盘上。它将恶意代码插入到合法的 Windows 程序中，如 mspaint.exe 和 notepad.exe。通过在内存中执行代码来避免杀毒软件。 

恶意软件还滥用Dropbox、Yandex和pCloud的云存储服务。这些云环境被攻击者用作命令和控制（C2）中心。

隐藏在无辜图像中的威胁

来源 – genians.co.kr 

该恶意软件非常巧妙，因为它将有效负载封装在无威胁的JPEG文件中。这些图像文件在幕后携带加密代码。 

RoKRAT的双层XOR加密使分析更加复杂。一旦恶意软件启动，它就会在内存中解密并运行这段隐秘的代码。

恶意的快捷方式（LNK）文件被压缩在ZIP档案中并开始感染。这些快捷方式运行隐藏的PowerShell命令。

 此操作检索了在攻击者控制的云账户中带有恶意软件的加密图像。由于代码看起来像其他任何图像，因此它可以绕过大多数防御措施。

云存储作为秘密中心

APT37使用常见的云存储API来远程操作恶意软件。RoKRAT会与api.pcloud.com、cloud-api.yandex.net和api.dropboxapi.com等服务进行通信以传输数据并获取指令。这使其流量与合法的云操作混合。

攻击者使用被吊销的访问令牌和隐藏的电子邮件账户对这些云C2服务器保持持续控制。 

这使得恶意软件具有韧性和隐秘性。它连接到实际的云服务，这使得防御者难以检测到它。

无文件攻击增加隐秘性

RoKRAT 的无文件特性是一个重大挑战。由于它将代码注入到合法的 Windows 进程中，因此它的法医足迹较低。这些攻击基于进程注入，而不是将文件写入磁盘。

安全团队应监控系统进程中的异常活动和可疑的出站云流量。借助端点检测与响应（EDR）工具，可以识别此类异常活动。对抗这种高级持续威胁的最好方法是早期检测。

加密货币行业面临威胁

这种恶意软件正在对加密货币领域构成威胁。RoKRAT能够窃取加密钱包密钥和账户凭证。它还未经用户许可进行加密货币挖矿。

APT37针对使用云环境与加密货币打交道的个人和公司。由于许多加密货币平台使用云基础设施，该恶意软件存在排水资产而不被检测的风险。这给交易所、钱包和保管人带来了严重的财务风险。

区块链项目的安全专家和开发人员也进入了攻击者的视线。鱼叉攻击活动也在其系统上安装RoKRAT以提取敏感数据和加密货币。