EndClient RAT — это троян удалённого доступа, обнаруженный в рамках масштабной кампании против северокорейских правозащитников. Вредонос был доставлен через вредоносный установочный пакет «StressClear.msi» и использует язык сценариев AutoIt, что коррелирует с прежними операциями известной группировки Kimsuky. Отдельный инцидент начался после того, как злоумышленник получил доступ к Google-аккаунту жертвы и удалённо очистил её мобильное устройство; затем через скомпрометированную учётную запись KakaoTalk распространялся вредоносный MSI, что привело к компрометации по меньшей мере 39 дополнительных целей.
Ключевые особенности и возможности
- Использование AutoIt как основы для реализации логики трояна и затруднения обнаружения антивирусными продуктами.
- Выполнение нескольких модулей машинного кода в памяти для обработки командно‑контрольных (C2) сообщений, что уменьшает количество артефактов на диске.
- Механизмы долговечности: запланированные задачи и выполнение, контролируемое через mutex.
- Функции уклонения от обнаружения, включая polymorphism, преимущественно нацеленный на обнаружение Avast.
- Простая, но надёжная C2-архитектура: JSON framing с фиксированными маркерами, использование TCP keep-alives и скрытых оболочек именованных каналов для поддержки соединений.
- Повторное использование кода из открытых источников, что типично для операций, приписываемых Kimsuky.
Технический анализ
Образцы EndClient RAT, загруженные в VirusTotal, продемонстрировали низкие показатели детектирования анти‑вирусами, что указывает на эффективность используемых техник обхода. RAT содержит процедуры для операций в памяти и использует стандартные утилиты для поиска в памяти и кодирования данных. Для поддержания управления и сбора данных злоумышленники используют компактный C2-протокол, основанный на JSON с фиксированными маркерами, а также именованные каналы для сокрытия обмена информацией.
Механизмы закрепления и уклонения
Механизмы закрепления у EndClient RAT относительно просты, но эффективны: создание запланированных задач для повторного запуска и использование mutex для управления единственностью исполнения. Для обхода обнаружения применяются несколько приёмов:
- полиморфизм (polymorphism), нацеленный на конкретные AV-системы;
- выполнение модулей непосредственно в памяти, без записи на диск;
- использование AutoIt-скриптов, которые часто вызывают меньше подозрений у сигнатурных сканеров.
Атрибуция и связь с Kimsuky
Связь с группировкой Kimsuky поддерживается следующими наблюдениями: предпочтение AutoIt, повторное использование публичных фрагментов кода и типичное поведение при целевой рассылке через социальные и мессенджер‑учётные записи. Хотя прямые доказательства attribution всегда требуют осторожности, совокупность технических признаков указывает на знакомые методы и инструментарий.
Рекомендации по обнаружению и смягчению
Исходя из особенностей угрозы, эксперты рекомендуют следующие меры:
- Блокировать и отслеживать выявленные индикаторы компрометации (IOCs): файлы с именем StressClear.msi, необычные AutoIt-исполняемые файлы, создание запланированных задач, подозрительные mutex и именованные каналы.
- Мониторить сетевой трафик на наличие JSON‑фрейминга с фиксированными маркерами и аномальных TCP keep-alives.
- Обратить внимание на процессы, выполняющие in‑memory код или запускающие нестандартные машинные модули из AutoIt‑скриптов.
- Усилить защиту учётных записей: включить MFA для Google и мессенджеров (включая KakaoTalk), контролировать смены настроек удалённого управления и события удаления устройства.
- Ограничить возможность выполнения MSI‑пакетов из непроверенных источников, внедрить правила Application Control/whitelisting.
- Обновить сигнатуры и внедрить поведенческие правила EDR, ориентированные на in‑memory execution и полиморфные образцы.
- Проводить расследование инцидентов и очистку на уровне образцов памяти при подозрении на компрометацию.
«Низкие показатели детектирования в VirusTotal и выполнение модулей в памяти делают EndClient RAT особенно опасным для целевых организаций с критически важной информацией», — отмечают аналитики.
Вывод
EndClient RAT демонстрирует сочетание простых, но надёжных техник закрепления и продвинутых приёмов уклонения (включая in‑memory execution и polymorphism). Использование AutoIt и распространение через скомпрометированные мессенджеры указывает на целенаправленную кампанию, совместимую с тактикой Kimsuky. Для минимизации риска важно оперативно внедрять детектирование описанных маркеров, усиливать защиту учётных записей и применять поведенческие механизмы обнаружения на конечных точках.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "EndClient RAT: AutoIt-троян Kimsuky, распространяемый через StressClear.msi".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.