ALL MENU

Technology
S2W's Technology
AI
Big Data
Security
Products
SAIP
QUAXAR
XARVIS
EYEZ
Services
AI Data Consulting
Penetration Testing
Incident Response
Request for Intelligence
Resources
Event
Webinar
SIS
Conference
About S2W
About S2W
History
News

QUICK LINKS

Resources
  • Research
  • 脅威分析レポート
ScarCruftによる「ROKRAT」マルウェアの最近の変化
2026.02.06

✅ レポートタイトル:ScarCruftによる「ROKRAT」マルウェアの最近の変化



✅ レポートの要約:


- ScarCruftは、従来のLNKベースの攻撃チェーンから逸脱し、HWP文書内のOLEオブジェクトを利用したDropper/Loader構造により、「ROKRAT」を配布する新たな攻撃手法を使用しています。


- 本レポートで確認された3つの事例はいずれも、ROR13ベースのAPI解決方式、XORベースのペイロード復号、pCloudやYandexなど正規クラウドサービスをC2通信に悪用する点など、過去のScarCruftキャンペーンと同一のシグネチャ特性を示しています。


- DropperおよびDownloaderは、ファイル生成、実行環境チェック、メモリロードなどの機能差異は存在しますが、最終的には「ROKRAT」をメモリ上で直接実行するという共通の目的を持っています。



📌 「ROKRAT」マルウェアとは?


- 「ROKRAT」は、北朝鮮支援型APTグループであるScarCruftが使用するマルウェアであり、2017年に初めて確認されて以降、現在まで継続的に配布されています。


- ScarCruftはこれまで、LNKファイルを通じてBATスクリプトおよびシェルコードを生成・実行する攻撃チェーンを主に使用しており、S2W脅威インテリジェンスセンター「TALON」では、これらをそれぞれDROKLINK、DROKBATとして追跡してきました。


- しかし、最近確認された事例では、これら従来の手法とは異なり、Hangul(HWP)文書のOLEオブジェクト内にDropperおよびLoaderを埋め込み、「ROKRAT」を配布する新たなマルウェアが開発・使用されていることが確認されています。



📌 「ROKRAT」マルウェアの新たな配布手法は?


- 従来のLNKからBATスクリプト、シェルコードへと進行する攻撃チェーンとは異なり、本事例では新たに開発されたDropperおよびDownloader型マルウェアを使用し、シェルコードおよび「ROKRAT」ペイロードを配布する手法が確認されています。



ケース1


- 当該マルウェアはmpr.dllというファイル名を使用しており、初期段階では配布経路が特定されていませんでしたが、その後、HWP文書内のOLEオブジェクトとして埋め込まれ、正規アプリケーションへのDLLサイドロードにより実行されたことが確認されています。


- 本ケースでは、Dropperがリソース領域に含まれるペイロードをファイルとして生成し、Loaderが解析環境および感染状態を確認した後、シェルコードをメモリ上で実行します。



ケース2


- 本マルウェアもHWP文書内のOLEオブジェクトを通じて配布されたことが確認されており、Downloader型マルウェアとして、ファイル内にハードコードされたURLを通じて追加ペイロードをダウンロードおよび実行します。


- 悪意のあるDLLファイル名がcredui.dllであることから、ShellRunas.exeなどの正規プログラムを利用したDLLサイドロードにより実行された可能性が高いと判断されます。


- 本ケースでは、攻撃者が管理するDropboxリンクから、ステガノグラフィによって隠蔽されたシェルコードをダウンロードし、「ROKRAT」を配布します。



ケース3


- version.dllファイルの正確な実行および配布経路は特定されていませんが、マルウェアのPDBパスおよび公開情報に基づき、悪意のあるHWP文書内のOLEオブジェクトとして含まれ、正規プログラムへのサイドロードにより実行された可能性が高いと判断されます。


- 本ケースでは、DropperおよびLoaderが1バイトXORキーを用いて内部ペイロードを復元し、「ROKRAT」をメモリ上で直接実行します。

 


- これら3つの事例はいずれも、ROR13ベースのAPI解決方式および「ROKRAT」復号に0x29のXORキーを使用する共通点を有しています。


- また、ScarCruftの代表的な情報窃取型マルウェアである「ROKRAT」は、これらの事例においても、正規クラウドサービスをC2サーバとして悪用するという特徴を示しています。



📌 ScarCruftグループとの関連性


- APIハッシュアルゴリズム(ROR13ベース)、シェルコード段階で使用されるXORキー、ならびに「ROKRAT」内で使用されるpCloudおよびYandexのAPIトークン文字列は、過去のScarCruft攻撃キャンペーンで確認されたものと完全に一致しています。


- これらの要素から、本攻撃はScarCruftグループによる最新の攻撃ベクトルであり、既存の戦術・技術・手順(TTP)を進化させたものであると判断されます。



✅ 脅威検知の推奨事項と対策方法:


- 最近の攻撃で確認されたDropperおよびLoaderは、Hangul(HWP)文書内のOLEオブジェクトとして配布されているため、フィッシングメール経由で受信したHWPファイルを開く際には、特に注意が必要です。


- OLEオブジェクトを含む文書の実行は任意コード実行につながる可能性があるため、送信元が不明な文書は開かないこと、およびHWPファイル内の異常なOLEオブジェクトに対する検知を強化することが推奨されます。

 


🧑‍💻 レポート作成者: S2W 「TALON」


👉 レポートに関するお問い合わせ: https://s2w.inc/ja/contact


*当該レポートは、S2Wのプラットフォームにて提供されます。詳細に関してはお問い合わせください。


ニュースハイライト
ウィークリーダークウェブ – 2026年1月第4週
2026.02.04
前へ
ニュースハイライト
ウィークリーダークウェブ – 2026年2月第1週
2026.02.11
次へ
一覧