文章总结： 韩国GeniansSecurityCenter披露朝鲜APT37组织采用新型社交工程攻击，通过Facebook好友请求建立信任后诱导受害者安装被篡改的PDFelement软件，最终投递RokRAT远程木马。攻击链涉及多平台通信转移、合法软件篡改和C2基础设施滥用等规避技术。防御建议包括谨慎处理社交请求、官方渠道下载软件、部署端点防护和员工安全意识培训。 综合评分： 85 文章分类： 社会工程学,恶意软件,威胁情报,漏洞分析,安全意识

5.最终载荷释放

JPG 文件执行后释放 RokRAT 木马。

6.持久化与数据窃取

RokRAT 使用合法但被攻陷的 Zoho WorkDrive 作为 C2 服务器，支持以下高级功能：

• 屏幕截图
• 通过 cmd.exe 执行远程命令
• 收集主机信息与系统侦察
• 伪装恶意流量，绕过 360 Total Security 等安全软件检测

攻击亮点与规避技术

• 合法软件篡改：Wondershare PDFelement 被植入 shellcode
• 合法基础设施滥用：使用真实企业网站作为 C2
• 文件扩展名伪装：JPG 图片实际为恶意载荷
• 社交工程高度精准：利用“加密军事文件”这一高可信度借口
• 多平台通信转移：Facebook → Messenger → Telegram，降低被平台封禁风险

GSC 评估称：“这是一种高度规避的组合策略，融合了合法软件篡改、合法网站滥用以及文件扩展名伪装。”

安全启示与防御建议

1. 社交媒体层面：不要轻易接受陌生人的 Facebook 好友请求，尤其是自称“军事”“情报”“加密文档”相关话题时，务必提高警惕。
2. 软件下载：只从官方渠道下载 PDF 阅读器等常用工具，避免点击不明链接提供的安装包。
3. 端点防护：部署 EDR/XDR 工具，重点监控异常进程、网络通信和文件执行行为。
4. 意识教育：对员工进行针对性社交工程培训，强调“预设场景”（Pretexting）的危害。
5. 多因素验证：所有社交账号开启两步验证，减少账号被冒用风险。

该恶意软件利用 Zoho WorkDrive 作为 C2 服务器——Zscaler ThreatLabz 于 2026 年 2 月在代号为 Ruby Jumper 的攻击活动中也详细描述了这一策略——使其能够捕获屏幕截图、通过“cmd.exe”执行远程命令、收集主机信息、执行系统侦察，并逃避一些知名安全软件等安全程序的检测，同时伪装恶意流量。

全球安全委员会表示：“其核心功能一直保持相对稳定，并在多次行动中反复使用。

这表明，RokRAT 较少关注改变其核心功能，而更多地关注改进其投放、执行和规避流程。”

学习交流群

刚加入网络安全行业的小白，可以加入学习交流群，大家一起互相学习，互相进步，不会的难题大家一起学习，一起攻克。

想要进学习交流群的师傅们，可以后台扫描二维码添加好友，我再拉你进群（Ps：防止广告进群）。想要学习工具的师傅，可以扫描进帮会，获取渗透工具合集。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：泷羽Sec-Norsea Ravie Lakshmanan Ravie Lakshmanan《最新社交工程攻击：用 Facebook 加好友投递 RokRAT 远程木马》