Эксперты по кибербезопасности раскрыли детали сложной кампании с использованием трояна удаленного доступа EndClient RAT, которая нацелена на защитников прав человека, занимающихся северокорейской тематикой. Атака отличается применением скомпрометированного кода подписи для обхода антивирусных решений.
Описание
Новый вредонос EndClient RAT распространяется через пакет Microsoft Installer под названием StressClear.msi, который использует украденный сертификат цифровой подписи от китайской компании Chengdu Huifenghe Science and Technology Co Ltd. Действительный сертификат, выданный SSL.com EV Code Signing Intermediate CA RSA R3, позволил вредоносному ПО выглядеть легитимным для антивирусных программ и избежать срабатывания системы Windows SmartScreen.
Расследование проводилось совместно независимыми исследователями безопасности и неправительственной организацией PSCORE, обладающей специальным консультативным статусом при Экономическом и Социальном Совете ООН. Атака началась в сентябре, когда злоумышленники скомпрометировали аккаунт Google prominentного активиста по правам человека в Северной Корее и использовали функцию удаленной очистки мобильного устройства. Одновременно атакующие захватили аккаунт жертвы в мессенджере KakaoTalk для распространения RAT среди 39 дополнительных целей.
Метод распространения включал методичные неавтоматизированные беседы один на один, где злоумышленник выдавал себя за доверенного контакта, инструктируя жертв загрузить и выполнить вредоносный MSI-файл. Такой целевой подход социальной инженерии демонстрирует глубокое понимание сообщества правозащитников и эксплуатацию установленных отношений доверия.
Технический анализ показал, что EndClient RAT использует скрипты AutoIT, что соответствует документально подтвержденной практике северокорейских Threat Actors, предпочитающих этот подход для обхода стандартных антивирусных решений. Вредонос обеспечивает устойчивость через несколько механизмов, включая запланированную задачу с именем IoKlTr, выполняемую каждую минуту, и LNK-файл в директории автозагрузки Windows.
При выполнении malware реализует несколько функций антианализа, включая проверку мьютекса с идентификатором Global\AB732E15-D8DD-87A1-7464-CE6698819E701 для предотвращения одновременного запуска нескольких экземпляров. Любопытно, что RAT включает специфическую функциональность против Avast антивируса, создающую полиморфные мутации файла с мусорными данными и новыми именами файлов при обнаружении этого антивируса, что особенно странно учитывая ограниченное присутствие Avast на корейском рынке по сравнению с AhnLab.
Вредонос устанавливает связь с командным сервером по IP-адресу 116.202.99.218:443, используя кастомный JSON-протокол с отличительными маркерами: endClient9688 для клиент-серверных коммуникаций и endServer9688 для сервер-клиентских ответов. Эта система фрейминга позволяет трояну передавать системную информацию, выполнять удаленные shell-команды и передавать файлы размером до 30 МБ.
EndClient RAT развертывает четыре машинных модуля, выполняющихся в памяти, для обработки маркеров протокола и кодирования/декодирования C2-команд. Эти модули включают функциональность бинарного поиска для сопоставления паттернов в сетевых данных, возможности Base64 кодирования/декодирования и алгоритмы LZMA декомпрессии. Анализ показал, что внутрипамятные заглушки не уникальны для этой кампании, с похожими блоками кода, идентифицированными в других образцах на платформах threat intelligence.
Кампания включает необычное объединение с пакетом Delfino из WIZVERA VeraPort - модулем аутентификации клиентских сертификатов, используемым корейскими банками для обработки публичных и финансовых сертификатов. Атакующее ремесло, включающее предпочтение AutoIT, повторно используемые компоненты и сложную социальную инженерию, специфично нацеленную на сообщество правозащитников, соответствует паттернам, приписываемым угрозы группе Kimsuky, также известной как APT43.
Текущие показатели обнаружения вызывают тревогу: только 7 из 64 антивирусных движков помечают дроппер, и всего 1 из 64 обнаруживает скрипт полезной нагрузки. Специалисты по безопасности рекомендуют внедрить операции охоты, сфокусированные на отличительных маркерах протокола endClient9688 и endServer9688 в сетевом трафике, мониторить артефакты запланированных задач в C:\Users\Public\Music и отслеживать создание подозрительных именованных каналов со случайными префиксами. Организациям следует рассматривать подписанные MSI-файлы как недоверенные до проверки их происхождения, особенно при доставке через каналы социальной инженерии.
Индикаторы компрометации
IPv4
- 116.202.99.218
SHA256
- 7107c110e4694f50a39a91f8497b9f0e88dbe6a3face0d2123a89bcebf241a1d
- bcdd8a213cf6986bad4bb487fe1bf798e159d32fd3a88b4e8d2945403d1c428d
- dfad5a2324e4bde8ba232d914fcea4c7c765992951eb933264fe1a2aaa8da164
