EndClient RAT, разработанный северокорейскими киберпреступниками, нацелен на защитников прав человека в Южной Корее и других странах, используя украденные сертификаты кода для обхода антивирусной защиты.
Использование украденных сертификатов: видеоурок
Использование украденных сертификатов
Malware, известный как EndClient RAT, был обнаружен в ходе совместного расследования с неправительственной организацией PSCORE. Главной особенностью EndClient RAT является его способность обходить защиту Windows SmartScreen, используя украденные сертификаты подписи кода, выданные Chengdu Huifenghe Science and Technology Co Ltd. Эти сертификаты позволяют вредоносному программному обеспечению казаться легитимным до истечения срока их действия в октябре 2025 года.
Технические аспекты и маскировка
Malware распространяется через пакет Microsoft Installer (MSI) с именем 'StressClear.msi', в котором также присутствует легитимный банковский модуль WIZVERA VeraPort, используемый как отвлекающий маневр. При запуске RAT устанавливает AutoIT-нагрузку и создает задачу, запускаемую каждую minuut из папки Public\Music, для поддержания присутствия в системе.
Угрозы кибербезопасности от EndClient RAT осложняются его полиморфной мутацией при обнаружении антивируса Avast и использованием уникального глобального мьютекса. Он подключается к командному серверу по адресу 116.202.99.218:443, обмениваясь системной информацией в формате JSON и поддерживая удаленное выполнение команд, загрузку и передачу файлов.
Меры противодействия
Специалисты по безопасности призывают блокировать обнаруженные индикаторы компрометации (IOC), отслеживать признаки появления планировщика задач и использование мьютексов. Также важно проверять происхождение подписанных MSI-файлов.
Совместное расследование подчеркивает важность сотрудничества между гражданским обществом и техническими исследователями для защиты уязвимых сообществ от сложных киберугроз.
