EndClientRAT представляет серьезную угрозу для правозащитников Северной Кореи, обходя антивирусы благодаря скомпрометированным сертификатам кода.
Технические характеристики
Этот троян удалённого доступа построен на AutoIT и работает на Windows через запланированную задачу, запускающуюся ежеминутно. Используются многоуровневые механизмы противодействия анализу и антивирусам. Обнаружена связь с C2 116.202.99.218:443 через специальный JSON протокол. Компоненты загружаются в память, где выполняются чтыре модуля машинных команд. Троян взаимодействует с сервером, используя маркеры 'endClient9688' и 'endServer9688'.
Атаки и последствия
В сентябре был скомпрометирован известный активист, у которого дистанционно стерли данные с Android-устройства и взломали аккаунт в KakaoTalk. Это позволило распространить RAT на 39 дополнительных целей посредством поддельных сообщений. Malware-файл подписан сертификатом Chengdu Huifenghe Science and Technology Co Ltd, выданным SSL.com.
Рекомендации по защите
Для защиты необходимо отслеживать наличие специфических протоколов и маркеров в сетевом трафике. Рекомендуется повышенная осторожность при работе с подписанными MSI-файлами и активное сотрудничество по обмену угрозами с организациями гражданского общества.
