韓国を標的とした多段階キャンペーンは、検出回避のために武装化されたWindowsショートカットとGitHubベースのコマンド・アンド・コントロールを使用しています。
DPRK関連の脅威アクターは、新しいキャンペーンで武装化されたWindowsショートカット(.LNK)ファイルとGitHubベースのコマンド・アンド・コントロール(C2)チャネルの使用を報告する研究者によると、韓国の組織を標的とする際に洗練性よりもステルス性を好んでいます。
Fortinetの新しい調査によると、2024年に始まった一連の攻撃は、検出回避のための多段階スクリプトプロセスとGitHub C2を使用していたことが判明し、キャンペーンの各反復でオブスケーションが改善されました。
「最近数ヶ月で、脅威アクターは戦術を変更しました」とFortinetの研究者はブログ投稿で述べました。「彼らは現在、デコード機能をLNK引数に組み込み、エンコードされたペイロードをファイル内に直接含めています。」継続中のキャンペーンは、韓国内でのDPRKの監視拡大を目的としているようです。研究者は、キャンペーンの以前の反復でのオブスケーションの少なさとメタデータの多さが、XenoRATマルウェアを拡散する攻撃にリンクさせることができたと指摘しました。
Sectigoのシニアフェローであるジェイソン・ソロコは、この戦略が組み込みのWindowsユーティリティと正当なサービスに依存して目的を達成する攻撃者の最近のトレンドと一致していると信じています。「モダンなサイバースパイ行為は、ランドオフザランドとして知られる非常に回避的な戦略へと根本的にシフトしました」と彼は述べており、攻撃者がPowerShellやスケジュール済みタスクなどのネイティブツールを悪用して、正常なシステムアクティビティに溶け込むことをますます多く行っていることに言及しました。
LNKファイルはその悪用の歴史で長い間知られており、Microsoftはその悪用を抑制するために長年にわたって多くのパッチと勧告を発行してきました。
ステルスローダーとして使用されるLNKファイル
キャンペーンはWindowsショートカットファイルから感染を開始します。これは通常、アプリケーションを起動したりドキュメントを開くために使用されますが、スクリプトやバイナリを実行するコマンドを埋め込むこともできます。
「.lnkファイルはWindowsがショートカットを処理する方法です。デスクトップのOutlookアイコンをクリックするたびに、実は別のファイルをクリックしており、そのファイルはOutlookイメージを使用してオペレーティングシステムにMicrosoft Outlookを開くよう指示します」とBlack Duckのシニアマネージャーであるジェイミー・ブートが説明しました。「また、ウェブサイト、追加のコマンドを持つプログラム、実行可能なスクリプト、およびWindowsの実行コマンドウィンドウに入力できるほぼすべてのものへのショートカットリンク(.lnkファイル)を作成することもできます。」
キャンペーンのLNKファイルはさまざまなスクリプトを使用しており、GitHub C2アドレスとアクセストークンをマスクするための単純な文字連結を持つ以前のバージョンを含めて、研究者は述べました。スクリプトはGitHubから取得されたPowerShellコマンドを実行することを目的としていることを判断するのは簡単だったと付け加えました。
後のバージョンは基本的な文字デコード機能に移行し、検出を少し難しくしましたが、それでも研究者が特定のキャンペーンに接続できるようにした名前、サイズ、修正日などの特徴的なメタデータを持っていました。名前列は繰り返し「Hangulドキュメント」を使用し、Kimsuky、APT37、およびLazarusなどの国家関連グループと一致するパターンです。
最新の反復では、キャンペーン運営者は識別可能なメタデータを削除し、引数内のデコード機能のみを使用しています。
C2としてのGitHub
研究者はまた、C2レイヤーとしてのGitHubの使用をキャンペーンで強調しました。疑わしく見える、または新しく登録されたドメインとの通信ではなく、マルウェアはGitHubリポジトリとAPIと相互作用して指示を受け取り、データを流出させます。
「このショートカットファイルがチェーンを作成し、最終的にGitHubリポジトリに到達し、インターネット経由でスクリプトをプルするという事実は、ネットワークディフェンダーに、生産性プラットフォームでさえも攻撃ベクトルになることができることを警告する必要があります」とブートが付け加えました。
システムに感染した後、PowerShellスクリプトはシステムチェックを実行して環境が分析下にないことを確認し、スケジュール済みタスクを通じてシステム再起動後もマルウェアが持続することを確認し、詳細なシステム情報を収集します。その後初めて、後続のスクリプトとの安定した接続が試行され、追加のモジュールと指示は攻撃者のGitHubリポジトリから取得されます。
研究者は、「motoralis」というGitHubアカウントに2025年まで遡る一貫したアクティビティがあることと、「God0808RAMA」、「Pigresy80」、「entire73」、「pandora0009」、「brandonleeodd93-blip」を含む他のあまり頻度の高くないアカウントをフラグしました。
さらに、ブログ投稿は検出の取り組みをサポートするためにURLとハッシュ機能のセットを共有しました。
