Một mối đe dọa mạng tinh vi dưới dạng mã độc truy cập từ xa (RAT) đang tích cực nhắm mục tiêu vào các Tổ chức Bảo vệ Nhân quyền (HRD) tại Triều Tiên. Chiến dịch này lợi dụng các chứng chỉ ký mã bị đánh cắp để né tránh sự phát hiện của phần mềm diệt virus. Mã độc, được gọi là “EndClient RAT,” được phân phối thông qua một gói cài đặt Microsoft Installer (MSI) độc hại, ngụy trang dưới tên “StressClear.msi,” đánh dấu sự leo thang đáng kể của các cuộc tấn công nhắm vào các tổ chức xã hội dân sự.

Việc tiết lộ về EndClient RAT là kết quả của một cuộc điều tra hợp tác giữa các nhà nghiên cứu bảo mật độc lập và PSCORE, một tổ chức phi chính phủ có tư cách tư vấn đặc biệt với Hội đồng Kinh tế và Xã hội Liên Hợp Quốc. Các phát hiện ban đầu cho thấy tỷ lệ phát hiện mã độc này rất thấp: chỉ 7 trên 64 công cụ diệt virus gắn cờ trình thả (dropper) và chỉ 1 trên 64 công cụ phát hiện payload script, nhấn mạnh những lỗ hổng nghiêm trọng trong các hệ thống phòng thủ an ninh hiện tại.

Chiến Thuật Xâm Nhập và Phân Phối

Khai Thác Niềm Tin và Tấn Công Kỹ Thuật Xã Hội

Chuỗi tấn công bắt đầu vào tháng 9, khi các tác nhân đe dọa đã xâm phạm tài khoản Google của một nhà hoạt động nhân quyền nổi bật ở Triều Tiên. Sau đó, chúng sử dụng tính năng “Tìm, bảo mật hoặc xóa thiết bị Android bị mất” để xóa dữ liệu từ xa trên điện thoại di động của nạn nhân. Đồng thời, những kẻ tấn công đã chiếm quyền điều khiển tài khoản KakaoTalk của nạn nhân để phân phối RAT dựa trên AutoIT cho 39 mục tiêu đã được xác định thêm.

Phương pháp phân phối liên quan đến các cuộc trò chuyện riêng lẻ, không tự động, trong đó tác nhân đe dọa mạo danh nạn nhân đáng tin cậy. Chúng hướng dẫn các liên hệ tải xuống và thực thi tệp MSI độc hại. Phương pháp kỹ thuật xã hội có mục tiêu này chứng tỏ sự hiểu biết sâu sắc về cộng đồng bảo vệ nhân quyền và khả năng khai thác các mối quan hệ tin cậy đã được thiết lập, tạo nên một mối đe dọa mạng phức tạp.

Phân Tích Kỹ Thuật EndClient RAT

Kỹ Thuật Né Tránh Phát Hiện

Gói phần mềm độc hại được ký bằng chứng chỉ bị đánh cắp từ Chengdu Huifenghe Science and Technology Co Ltd, một công ty khai thác khoáng sản Trung Quốc. Chứng chỉ ký mã hợp lệ, được cấp bởi SSL.com EV Code Signing Intermediate CA RSA R3 và có giá trị từ ngày 25 tháng 10 năm 2024 đến ngày 17 tháng 10 năm 2025, cho phép mã độc xuất hiện hợp pháp đối với phần mềm diệt virus và ngăn chặn cảnh báo Windows SmartScreen. Đây là một yếu tố quan trọng dẫn đến thành công của chiến dịch này, cho thấy một mối đe dọa mạng được lên kế hoạch kỹ lưỡng.

EndClient RAT sử dụng kịch bản AutoIT, tiếp nối một mô hình đã được ghi nhận của các tác nhân đe dọa Triều Tiên ưu tiên phương pháp này. AutoIT nổi tiếng về hiệu quả trong việc bỏ qua các giải pháp diệt virus tiêu chuẩn. Tỷ lệ phát hiện thấp của EndClient RAT càng củng cố sự cần thiết của các giải pháp phát hiện xâm nhập tiên tiến hơn.

Cơ Chế Duy Trì Quyền Truy Cập

Mã độc thiết lập tính bền vững thông qua nhiều cơ chế, bao gồm một tác vụ đã lên lịch tên “IoKlTr” thực thi mỗi phút và một tệp LNK trong thư mục Khởi động của Windows. Điều này đảm bảo rằng RAT có thể tiếp tục hoạt động ngay cả sau khi hệ thống khởi động lại, duy trì khả năng chiếm quyền điều khiển mục tiêu.

Tính Năng Chống Phân Tích

Khi thực thi, mã độc triển khai một số tính năng chống phân tích, bao gồm kiểm tra mutex bằng cách sử dụng định danh “GlobalAB732E15-D8DD-87A1-7464-CE6698819E701” để ngăn chặn nhiều phiên bản chạy đồng thời.

Đáng chú ý, RAT này bao gồm chức năng chống Avast cụ thể. Khi phát hiện phần mềm diệt virus Avast, nó sẽ tạo ra các biến thể đa hình của tệp với dữ liệu rác và tên tệp mới. Đây là một triển khai đáng chú ý, đặc biệt khi Avast có sự hiện diện thị trường hạn chế ở Hàn Quốc so với AhnLab.

Giao Tiếp Command-and-Control (C2)

Mã độc thiết lập giao tiếp C2 với địa chỉ IP 116.202.99.218:443 bằng cách sử dụng một giao thức dựa trên JSON tùy chỉnh với các điểm đánh dấu đặc trưng:

• “endClient9688” cho giao tiếp từ client đến server.
• “endServer9688” cho phản hồi từ server đến client.

Hệ thống định khung dựa trên sentinel này cho phép RAT truyền thông tin hệ thống, thực thi các lệnh shell từ xa và chuyển các tệp có kích thước lên tới 30MB, là một năng lực đáng kể trong việc chiếm quyền điều khiển hệ thống mục tiêu.

Các Module Thực Thi Trong Bộ Nhớ

EndClient RAT triển khai bốn module mã máy thực thi trong bộ nhớ để xử lý đánh dấu giao thức và mã hóa/giải mã các lệnh C2. Các module này bao gồm:

• Chức năng tìm kiếm nhị phân để khớp mẫu trong dữ liệu mạng.
• Khả năng mã hóa/giải mã Base64.
• Thuật toán giải nén LZMA.

Các module hoạt động thông qua AutoIT stubs phân bổ bộ nhớ với quyền đọc-ghi-thực thi và thực thi raw shellcode với các biến thể x86 và x64 riêng biệt. Phân tích cho thấy các stubs trong bộ nhớ này không phải là duy nhất cho chiến dịch này, với các khối mã tương tự được xác định trong các mẫu khác trên các nền tảng tình báo về mối đe dọa mạng. Mô hình này phù hợp với phương pháp tác chiến đã được ghi nhận của nhóm Kimsuky, vốn kết hợp các thành phần mã được lấy từ nhiều nguồn khác nhau.

Thành Phần Bổ Sung: WIZVERA VeraPort Delfino

Chiến dịch bao gồm việc đóng gói bất thường gói Delfino của WIZVERA VeraPort, một module xác thực chứng chỉ phía client được các ngân hàng Hàn Quốc sử dụng để xử lý các chứng chỉ công cộng và tài chính. Sự hiện diện của Delfino có thể được sử dụng để giảm thiểu sự nghi ngờ hoặc khai thác các quy trình chứng chỉ hiện có trên hệ thống mục tiêu.

Gán Nhóm Tấn Công và Mối Đe Dọa

Phương pháp tác chiến tấn công, bao gồm ưu tiên AutoIT, các thành phần tái sử dụng, và kỹ thuật xã hội tinh vi nhắm mục tiêu cụ thể vào cộng đồng HRD, phù hợp với các mô hình được gán cho nhóm đe dọa Kimsuky, còn được gọi là APT43. Chiến dịch này một lần nữa chứng minh sự nhắm mục tiêu liên tục của các tác nhân được nhà nước bảo trợ vào các tổ chức xã hội dân sự và làm nổi bật bức tranh mối đe dọa mạng bất đối xứng mà các nhà bảo vệ nhân quyền phải đối mặt. Nghiên cứu chi tiết hơn về EndClient RAT có thể cung cấp thêm thông tin về mối đe dọa mạng này.

Chỉ Số Thỏa Hiệp (IOCs)

Các chỉ số thỏa hiệp sau đây có thể được sử dụng để phát hiện xâm nhập và theo dõi EndClient RAT:

• Tên tệp MSI độc hại:StressClear.msi
• Địa chỉ IP C2:116.202.99.218:443
• Tên tác vụ đã lên lịch (Scheduled Task):IoKlTr (thường nằm trong thư mục C:UsersPublicMusic)
• Mutex toàn cầu:GlobalAB732E15-D8DD-87A1-7464-CE6698819E701
• Điểm đánh dấu giao thức C2:
  • Client-to-server: endClient9688
  • Server-to-client: endServer9688
• Chứng chỉ ký mã bị đánh cắp: Phát hành bởi SSL.com EV Code Signing Intermediate CA RSA R3, thuộc Chengdu Huifenghe Science and Technology Co Ltd.

Chiến Lược Phát Hiện và Giảm Thiểu

Các nhóm bảo mật cần triển khai các hoạt động săn tìm tập trung vào các điểm đánh dấu giao thức đặc trưng “endClient9688” và “endServer9688” trong lưu lượng mạng. Điều này sẽ hỗ trợ quá trình phát hiện xâm nhập hiệu quả.

Theo dõi các tạo tác của tác vụ đã lên lịch trong C:UsersPublicMusic và tìm kiếm sự tạo ra các named pipes đáng ngờ với tiền tố ngẫu nhiên cũng là một biện pháp quan trọng. Định danh mutex toàn cầu “GlobalAB732E15-D8DD-87A1-7464-CE6698819E701” cung cấp một cơ hội phát hiện khác.

Các tổ chức nên coi các tệp MSI đã ký là không đáng tin cậy cho đến khi xác minh được nguồn gốc, đặc biệt khi chúng được phân phối qua các kênh kỹ thuật xã hội. Độ trung thực phát hiện thấp và sự xâm nhập quy mô lớn vào cộng đồng mục tiêu nhấn mạnh nhu cầu cấp thiết về việc chia sẻ thông tin tình báo về mối đe dọa mạng nâng cao và hỗ trợ bảo mật chuyên biệt cho các tổ chức xã hội dân sự có rủi ro cao. Việc tăng cường an ninh mạng là điều tối quan trọng để chống lại các mối đe dọa mạng như EndClient RAT.