W ostatnim czasie pojawił się raport techniczny opisujący nową wersję trojana zdalnego dostępu („RAT”) – EndClient RAT, który przypisuje się koreańskiej grupie Kimsuky. Poniżej przedstawiam najważniejsze wnioski, zagrożenia, oraz rekomendacje dla organizacji i użytkowników.
Co to jest EndClient RAT?
EndClient RAT to złośliwy program typu Remote Access Trojan. Daje on atakującym możliwość zdalnego dostępu do zaatakowanego systemu. Raport wskazuje, że:
- jest powiązany z grupą Kimsuky z Korei Północnej, która znana jest z ukierunkowanych operacji wywiadowczych i hakerskich.
- infekcja następuje przez podpisany plik instalacyjny Microsoft Installer (MSI) o nazwie „StressClear.msi”.
- używa skryptów AutoIT do uruchomienia kodu, co pomaga w omijaniu prostszych zabezpieczeń.
- utrzymanie obecności w systemie osiągane jest przez harmonogram zadań oraz wpisy w autostarcie
- komunikacja z serwerem C2 odbywa się przy pomocy niestandardowego protokołu, który wykorzystuje markery JSON. To daje sprawny kanał do zdalnego uruchamiania poleceń, przesyłania plików, wyciągania informacji z systemu.
- program używa technik takich jak dekodowanie Base64, dekompresja LZMA oraz moduły ładowane w pamięci, które pomagają mu unikać wykrycia przez tradycyjne antywirusy.
Dlaczego to zagrożenie jest istotne?
Raport zaznacza, że obecne ataki są głównie skierowane na obrońców praw człowieka związanych z Koreą Północną. Jednak mechanizmy działania EndClient RAT wskazują, że zagrożenie może dotknąć znacznie szersze grono.
Oto kilka powodów:
- Trudna wykrywalność – dzięki podpisanemu instalatorowi oraz metodom ukrywania działania w pamięci prawdopodobieństwo wykrycia jest niskie.
- Uporczywe przebywanie w systemie – wykorzystanie mechanizmów startowych i zaplanowanych zadań umożliwia ciągłe działanie trojana nawet po restarcie.
- Możliwość eskalacji – jeśli program zacznie być używany szerzej, może stanowić narzędzie szpiegowskie, które umożliwia kradzież danych, perspektywicznie zakłócenie operacji.
- Ryzyko dla organizacji europejskich – bezpośrednim celem są aktorzy związani z Koreą Północną. Pomimo to, organizacje europejskie, NGO-sy, jednostki badawcze czy instytucje współpracujące międzynarodowo również mogą być zagrożone.
Co to oznacza dla Ciebie i Twojej organizacji?
Jeśli odpowiadasz za bezpieczeństwo w firmie/organizacji rozważ wdrożenie tych punktów:
- Weryfikuj podpisy cyfrowe plików instalacyjnych
- Monitoruj użycie AutoIT i PowerShell – to częste narzędzia w kampaniach APT.
- Kontroluj zadania zaplanowane i folder autostartu
- Używaj EDR/XDR – rozwiązania EDR/XDR pozwalają wykrywać nietypowe aktywności.
- Prowadź szkolenia z cyberbezpieczeństwa dla użytkowników – wiele infekcji wciąż zaczyna się od wiadomości e-mail z załącznikiem.
Pełny analiza zagrożenia: https://www.0x0v1.com/endclientrat/
