韓国のユーザーをターゲットとする悪意のあるWindowsショートカット(LNK)ファイルを使用した新しいフィッシングキャンペーンで、GitHubがコマンド・アンド・コントロール(C2)インフラストラクチャとして悪用され、その活動を隠蔽しています。
北朝鮮関連の攻撃者とのツール使用と手口の関連性を示すこの作戦は、2024年以降に確認されていた初期のより難読化されていないXenoRAT配信キャンペーンからの明らかな進化を示しています。
最初の段階では、被害者は文書になりすましたLNKファイルを受け取ります。多くの場合、ビジネスレポートまたは韓国企業に関連したデコイPDFテーマが付いています。
初期のバリアントは、GitHub C2 URLとアクセストークンを隠すために単純な文字列連結に依存していました。しかし、検査時にGitHubからPowerShellコマンドをプルして実行するという基本的な意図は明らかでした。
時間とともに、攻撃者はLNK引数内に軽量なデコーディングルーチンを追加し、デコイPDFと次段階のPowerShellペイロード両方をファイル内に直接埋め込み、場所、長さ、XORキーなどのパラメータを使用してコンテンツをデコードするカスタム関数(p1)に渡すようになりました。
FortiGuard Labsは最近韓国のユーザーをターゲットとするLNKファイルの一連を検出しました。これらのショートカットは、開く際に単に文書を開くのではなく、埋め込みスクリプトを実行します。
この関数はまずデコイPDFをドロップして、被害者が一見すると普通の文書が開かれたように見えるようにし、その後サイレントでPowerShellスクリプトをバックグラウンドでデコードして起動します。
初期のサンプルは、繰り返されるファイル名、サイズ、変更日、および「ハングル文書」の名前パターンなどの豊富なメタデータを公開していました。これは北朝鮮関連の諜報活動で頻繁に見られるラベルです。これらの手がかりは、帰属と検出を減らすために、最新の反復版では削除されています。
LNKフィッシングキャンペーン
第2段階のPowerShellスクリプトは、アンチ分析、永続性、および初期的な偵察に焦点を当てています。
まず広範な環境チェックを実行し、実行中のプロセスをスキャンして、仮想化の痕跡、デバッガー、およびIDA、x64dbg、Wireshark、Fiddler、Process Hacker、Sysinternalsユーティリティなどの一般的なセキュリティツールを検出します。
これらのインジケータのいずれかが出現した場合、スクリプトは直ちに終了して、サンドボックス処理と手動分析の両方を妨害します。これは、XenoRATおよび他のツールを使用した北朝鮮関連の諜報活動で以前に文書化された防御回避動作を反映しています。
環境が安全に見える場合、スクリプトは複数の文字列を再構成してBase64デコードし、難読化されたVBScriptペイロードを%Temp%下のランダムに名前が付けられたフォルダに書き込みます。
その後、このVBScriptに対してwscript.exeを30分ごとに起動するスケジュール済みタスクを介して永続性を確立します。タスク名は良性の技術ドキュメント参照に見えるように作成されています。
デコイPDFはLNKファイルのテーマと一致し、ファイルが正常に開かれたと思わせながら、悪意のあるPowerShellスクリプトはバックグラウンドで静かに実行されます。
VBScriptは次に、非表示ウィンドウでPowerShellペイロードを実行し、ユーザーに対して表示される痕跡を最小化します。スクリプトは次にシステムをプロファイルし、OSバージョン、ビルド、稼働時間、および完全なプロセスリストを収集します。
このデータをタイムスタンプとIPアドレスを使用して名前が付けられたログファイルに保存し、「motoralis/singled」リポジトリに関連付けられたGitHub APIエンドポイントにアップロードします。これはハードコードされたアクセストークンで認証されます。
アクティビティクラスタリングは、このアカウントが2025年以降一貫して使用されていることを示し、インフラストラクチャの重複は、God0808RAMA、Pigresy80、entire73、pandora0009、brandonleeodd93-blipなどの追加のGitHubアカウントにリンクしており、Gitリポジトリ上に完全に構築されたより広いC2と流出エコシステムを形成しています。
永続的なGitHubベースのC2
第3段階では、後続のPowerShellスクリプトがライブC2チャネルを維持します。これは定期的に同じ「motoralis/singled」プロジェクトパスの下の生のGitHub URLから命令または追加のモジュールを取得し、フェッチされたコンテンツを実行します。
すべてのトラフィックは正当なGitHubドメインを経由し、HTTPSを使用するため、通信は通常の開発者またはエンタープライズアクティビティに溶け込み、基本的なドメインベースのフィルタリングをしばしばバイパスします。
オペレータはまた、感染したホストからネットワーク構成データを収集し、それをGitHubにアップロードして、被害者のIPアドレスとタイムスタンプを含むパスの下にログを書き込む「キープアライブ」スクリプトも実行します。
この定期的なチェックインにより、攻撃者はオンラインステータスとネットワークの変更を追跡し、条件が有利なときにXenoRATなどのより重いペイロードの横方向の移動またはデプロイメントを準備することができます。
XenoRATを配信する同様のGitHubを中心とした諜報チェーンは、外交および政府ネットワークをターゲットとする他の北朝鮮関連キャンペーンで最近文書化されています。
このキャンペーンは、北朝鮮関連の脅威アクターがカスタムバイナリではなく、PowerShell、VBScript、スケジュール済みタスクなどのネイティブWindowsツールと信頼できるクラウドサービスにますます依存していることを強調しており、検出フットプリントを劇的に低下させています。
秘密のGitHubリポジトリ内にコマンド、ログ、ペイロードローダーを隠すことで、彼らはプラットフォームの良い評判と企業環境での一般的なホワイトリスティングを利用して、回復力のある低ノイズC2チャネルを維持しています。
組織は、特にプロセススキャン、%Temp%常駐スクリプト、wscript.exeを起動する疑わしいスケジュール済みタスクを含む異常なPowerShellまたはスクリプトアクティビティを優先度の高いアラートとして扱うべきです。
GitHub APIと生コンテンツアクセスの監視を厳しくし、最小権限の出力ポリシーを実施し、文書に偽装したLNKベースのフィッシング誘導についてスタッフを教育することは、同様のGitHubベースの諜報作戦を検出・妨害するための重要なステップです。
翻訳元: https://gbhackers.com/lnk-phishing-campaign/
