概要
高度なリモートアクセス型トロイの木馬(RAT)である「EndClient RAT」が、北朝鮮の人権活動家(HRD)を標的としたキャンペーンで活発に利用されています。このマルウェアは、盗まれたコード署名証明書を悪用してアンチウイルス検出を回避しています。悪意のあるMicrosoft Installerパッケージ「StressClear.msi」を介して配布され、ドロッパーの検出率は64のアンチウイルスエンジン中わずか7、ペイロードスクリプトは1と、現在のセキュリティ防御における重大なギャップを浮き彫りにしています。この開示は、独立したセキュリティ研究者と国連経済社会理事会に特別協議資格を持つ非政府組織PSCOREによる共同調査の結果です。
攻撃の経緯
攻撃は9月に始まりました。脅威アクターは、著名な北朝鮮の人権活動家のGoogleアカウントを侵害し、「紛失したAndroidデバイスを探す、保護する、または消去する」機能を使用して、被害者の携帯電話をリモートでワイプしました。同時に、攻撃者は被害者のKakaoTalkアカウントを乗っ取り、AutoITベースのRATを特定された39の追加ターゲットに配布しました。配布方法は、脅威アクターが信頼された被害者になりすまし、連絡先に悪意のあるMSIファイルをダウンロードして実行するように指示する、計画的で非自動化された1対1の会話を伴いました。この標的型ソーシャルエンジニアリングアプローチは、人権活動家コミュニティに対する高度な理解と、確立された信頼関係の悪用を示しています。
コード署名証明書の悪用
マルウェアパッケージは、中国の鉱物採掘会社であるChengdu Huifenghe Science and Technology Co Ltdから盗まれた証明書を使用して署名されていました。SSL.com EV Code Signing Intermediate CA RSA R3によって発行され、2024年10月25日から2025年10月17日まで有効なこの有効なコード署名証明書により、マルウェアは正当なものとして認識され、アンチウイルスソフトウェアやWindows SmartScreenアラートのトリガーを回避しました。これはキャンペーンの成功における重要な要因でした。
技術的分析とマルウェアの機能
EndClient RATはAutoITスクリプトを採用しており、これは北朝鮮の脅威アクターが標準的なアンチウイルスソリューションを回避するためにこのアプローチを好むという文書化されたパターンに沿っています。マルウェアは、複数のメカニズムを通じて永続性を確立します。
- 1分ごとに実行される「IoKlTr」という名前のスケジュールされたタスク
- Windowsスタートアップディレクトリ内のLNKファイル
実行時、マルウェアは複数のアンチ分析機能を実装しています。これには、複数のインスタンスが同時に実行されるのを防ぐための識別子「Global\AB732E15-D8DD-87A1-7464-CE6698819E701」を使用したミューテックスチェックが含まれます。注目すべきは、Avastアンチウイルスが検出された場合に、ゴミデータと新しいファイル名でファイルの多形変異を作成する特定のアンチAvast機能が含まれていることです。これは、韓国におけるAvastの市場シェアがAhnLabと比較して限られていることを考えると、興味深い実装です。
マルウェアは、IPアドレス116.202.99.218:443とカスタムのJSONベースプロトコルを使用してコマンド&コントロール(C2)通信を確立します。特徴的なマーカーは、クライアントからサーバーへの通信には「endClient9688」、サーバーからクライアントへの応答には「endServer9688」です。このセンチネルベースのフレーミングシステムにより、RATはシステム情報を送信し、リモートシェルコマンドを実行し、最大30MBのファイルを転送できます。
インメモリ実行と高度な機能
EndClient RATは、C2プロトコルマーカーの処理とC2コマンドのエンコード/デコードを処理するために、メモリ内で実行される4つのマシンコードモジュールを展開します。これらのモジュールには、ネットワークデータ内のパターンマッチングのためのバイナリ検索機能、Base64エンコード/デコード機能、およびLZMA解凍アルゴリズムが含まれます。モジュールは、読み取り-書き込み-実行権限を持つメモリを割り当て、個別のx86およびx64バリアントで生のシェルコードを実行するAutoITスタブを介して動作します。興味深いことに、分析により、インメモリスタブはこのキャンペーンに固有のものではなく、脅威インテリジェンスプラットフォーム上の他のサンプルでも同様のコードブロックが特定されました。このパターンは、Kimsuky脅威グループの文書化された手口である、さまざまなソースからのリフトされたコードコンポーネントの組み込みと一致しますが、これらの再利用されたモジュールの特定の起源は不明です。
このキャンペーンには、韓国の銀行が公開証明書や金融証明書を処理するために使用するクライアント側証明書認証モジュールであるWIZVERA VeraPortのDelfinoパッケージの珍しいバンドルが含まれています。AutoITの好み、再利用されたコンポーネント、およびHRDコミュニティを特に標的とした高度なソーシャルエンジニアリングを含む攻撃の手口は、APT43としても知られるKimsuky脅威グループに起因するパターンと一致しています。このキャンペーンは、国家支援型アクターによる市民社会組織への継続的な標的化と、人権活動家が直面する非対称的な脅威の状況を浮き彫りにしています。
緩和策
セキュリティチームは、ネットワークトラフィック内のC2プロトコルマーカー「endClient9688」および「endServer9688」に焦点を当てたハンティング操作を実装し、C:\Users\Public\Music内のスケジュールされたタスクアーティファクトを監視し、ランダムなプレフィックスを持つ疑わしい名前付きパイプの作成に注意を払う必要があります。グローバルミューテックス識別子「Global\AB732E15-D8DD-87A1-7464-CE6698819E701」は、別の検出機会を提供します。組織は、特にソーシャルエンジニアリングチャネルを介して配信された場合、出所が確認されるまで署名されたMSIファイルを信頼できないものとして扱う必要があります。低い検出精度と標的コミュニティへの大規模な侵入は、脅威インテリジェンス共有の強化と、高リスクの市民社会組織に対する専門的なセキュリティサポートの必要性を強調しています。