终端客户端远程访问木马滥用窃取的代码签名证书来逃避反病毒检测

朝鲜网络攻击者部署了一种新的远程访问木马 (RAT)，目标是韩国和国外的人权捍卫者 (HRD)，利用窃取的代码签名证书绕过防病毒软件和 Windows SmartScreen 保护。

该恶意软件名为“EndClient RAT”，是在与朝鲜人权倡导组织PSCORE联合调查中发现的。

这次袭击凸显了国家支持的行动者对公民社会构成的持续威胁，以及主动共享威胁情报的必要性。

终端客户端远程访问木马滥用窃取的代码签名证书来逃避反病毒检测

最终客户端远程访问木马 (RAT) 通过名为“StressClear.msi”的 Microsoft 安装程序 (MSI) 包进行分发，该程序包由中国矿山开采公司成都汇丰和科技有限公司进行代码签名。

该证书有效期至 2025 年 10 月，很可能是被盗的，这使得恶意软件能够伪装成合法程序，从而躲过防病毒软件的检测，避免触发Windows SmartScreen 警报。

MSI 还捆绑了一个合法的韩国银行软件模块，即 WIZVERA VeraPort 的 Delphino 软件包，这可以作为诱饵来减少怀疑。

终端客户端 RAT 的控制流图

终端客户端 RAT 的控制流图

一旦执行，该恶意软件就会释放一个基于 AutoIT 的有效载荷，并通过创建一个每分钟从 Public\Music 目录运行的计划任务来建立持久性。

该 RAT 使用全局互斥锁 (Global\AB732E15-D8DD-87A1-7464-CE6698819E701) 来防止出现多个实例，如果检测到 Avast 防病毒软件，则会采用多态变异。尽管 Avast 在韩国并不常见，但这表明攻击者可能正在重用其他攻击活动中的代码。

技术细节和指挥控制协议

终端客户端RAT使用基于哨兵帧的自定义协议与其位于 116[.]202[.]99[.]218:443 的命令与控制 (C2) 服务器通信。

客户端以 JSON 格式发送系统信息，并标记“endClient9688”，接收标记为“endServer9688”的命令。该协议支持远程 shell 执行、文件上传/下载（限制为 30MB）以及其他标准 RAT 功能。

该恶意软件创建了四个用于远程 shell 通信的命名管道，并使用内存模块进行协议标记处理、Base64 编码/解码和 LZMA 解压缩。

终端客户端 RAT 的检测准确率极低，投放器仅检测到 7/64 个，有效载荷脚本仅检测到 1/64 个。

攻击者使用 AutoIT（朝鲜威胁行为者的常用选择）进一步增加了检测的难度，因为编译后的 AutoIT 脚本很难被防病毒解决方案分析。

组织和个人应阻止已识别的入侵指标 (IOC)，查找独特的协议标记（“endClient9688”、“endServer9688”），并监控计划任务痕迹和互斥锁使用情况。在验证其来源之前，应将已签名的 MSI 视为不可信。

EndClient RAT 的发现凸显了民主威胁情报以及公民社会与技术研究人员之间合作对于保护弱势群体免受复杂网络威胁的重要性。