新たに発見されたフィッシングキャンペーンが、GitHubをコマンド・アンド・コントロール(C2)サーバーとして悪用し、韓国の組織を活発に狙っています。
FortiGuard Labsによって発見されたこの攻撃は、高度に難読化された悪意のあるLNK(ショートカット)ファイルを使用してシステムに侵入します。これらのファイルは2024年初頭から流通していますが、最近のバリアントはステルス性と洗練度が大幅に増加しています。
感染プロセスは、被害者とセキュリティソフトウェアに見えないように設計された、慎重に調整された複数段階の攻撃です。
XenoRATマルウェアを拡散することで知られているこのキャンペーンの古いバージョンでは、脅威アクターは単純な文字連結を使用してGitHubのC2アドレスを隠していました。
しかし、最近のイテレーションは大幅に進化しました。攻撃者は現在、デコード機能をLNKファイルの引数に直接埋め込み、検出を避けるために識別可能なメタデータを削除しています。
被害者が悪意のあるLNKファイルを開くと、その事業に関連した餌となるPDFドキュメントがすぐにドロップされます。
これは通常のアクティビティの幻想を作り出し、被害者がファイルは安全だと信じさせます。ユーザーが餌を読んでいる間、隠されたPowerShellスクリプトがバックグラウンドで静かに実行されます。
このキャンペーンの最も注目すべき側面は、正当な公開インフラストラクチャの戦略的な悪用です。
カスタムで簡単にフラグが付く悪意のあるサーバーに依存するのではなく、攻撃者はGitHub APIを主要なC2チャネルとして使用しています。
収集されたシステムデータは、ハードコードされたアクセストークンを使用してプライベートGitHubリポジトリに直接アップロードされます。
研究者は、このオペレーションに関連する複数のGitHubアカウントを特定し、「motoralis」という名前のアカウントが中央運用ハブとして機能しています。
攻撃者は、1つが削除された場合にすぐに冗長性を確保するために、アクティブなアカウントと休止中のアカウントの両方のネットワークを維持しています。
すべてのデータ流出とペイロードホスティングをプライベートリポジトリ内で実施することにより、脅威アクターはGitHubドメインの高い信頼を利用しながら、悪意のあるアクティビティを一般公開から隠しておきます。
このスクリプトは定期的にネットワーク設定の詳細を収集し、リポジトリにアップロードし、攻撃者が被害者のネットワークステータスをリアルタイムで監視し、必要に応じて追加の悪意のあるモジュールを取得できるようにします。
このキャンペーンは、脅威アクターがカスタムマルウェアの使用を最小化し、「Living off the Land」(LOLBins)を支持して、ネイティブなPowerShellのようなWindowsツールとVBScriptを使用して攻撃を実行する傾向の増加を強調しています。
GitHubは広く信頼され、企業環境で頻繁に許可されているため、ネイティブツールと悪用されたウェブサービスのこの組み合わせは、非常にステルスな感染チェーンを作成します。
組織は、この進化する脅威に対して防御するために、異常なPowerShellアクティビティを監視し、予期しないショートカットファイルに対して警戒し続けることをお勧めします。
翻訳元: https://cyberpress.org/github-c2-in-lnk-phishing/