利用武器化的 Windows 快捷方式 进行无文件 RokRat 恶意软件的部署

黑客利用LNK（Windows快捷方式）文件传播恶意软件，因为它们能够携带恶意代码，在单击快捷方式时自动执行。尽管LNK文件表面看似无害，但它们实际上可以触发恶意软件下载或其他恶意操作，因此成为Windows系统上有效的初始感染方式。

最近，ASEC网络安全研究人员发现，威胁行为者积极利用武器化的Windows快捷方式文件来部署无文件的“RokRat”恶意软件。

AhnLab 证实，RokRat 恶意软件一直在针对韩国用户，尤其是与朝鲜问题相关的用户。已知的恶意LNK文件名称包括：

·National Information Academy 8th Integrated Course Certificate (Final).lnk

·Gate access roster 2024.lnk

·Northeast Project (US Congressional Research Service (CRS Report).lnk

·Facility list.lnk

这些恶意LNK文件通过CMD执行PowerShell，与去年的RokRAT样本相似。值得注意的是，它们在LNK文件中捆绑了以下内容以增加社会工程诱惑：

·合法文件

·脚本

·恶意PE负载

当LNK文件运行时，它会使用PowerShell创建一个合法文档诱饵，然后在公共文件夹中创建三个文件（find.bat、search.dat、viewer.dat）。find.bat运行search.dat，它以无文件方式执行viewer.dat中的RokRAT后门有效负载。

RokRAT能够收集用户数据并接收命令，并将窃取的信息泄露到攻击者的云服务器（如pCloud、Yandex和DropBox），同时将请求伪装成Googlebot。利用无文件技术的多阶段执行过程旨在逃避检测。

有关所使用的云 URL 的详细信息（来源 - ASEC）

RokRAT能够运行命令、显示目录、删除启动文件、收集启动/应用程序数据/最近的文件列表以及收集系统和网络信息。攻击者

威胁行为者经常瞄准与韩国统一、军事或教育部门相关的目标，涉及这些领域的组织应格外警惕此类性质的持续攻击。

·b85a6b1eb7418aa5da108bc0df824fc0

·358122718ba11b3e8bb56340dbe94f51

·35441efd293d9c9fb4788a3f0b4f2e6b

·68386fa9933b2dc5711dffcee0748115

·bd07b927bb765ccfc94fadbc912b0226

·6e5e5ec38454ecf94e723897a42450ea

·3114a3d092e269128f72cfd34812ddc8

·bd98fe95107ed54df3c809d7925f2d2c

参考及来源：https://gbhackers.com/weaponized-windows-fileles-rokrat-malware/