ハッカーはWindowsショートカットファイルとGitHubを悪用して、南朝鮮の組織に対して隠蔽的な多段階マルウェアキャンペーンを実行しています。
この作戦はLNKファイル、PowerShell、およびGitHub APIを連鎖させて、通常のエンタープライズトラフィックに溶け込みながら監視ツールを配信します。キャンペーンは、単純なショートカットではなく隠れたスクリプトを含む武器化されたLNKファイルから始まります。
これらの古いサンプルは、繰り返されるファイル名、サイズ、および「ハングル文書」ラベルなどの豊富なメタデータを公開しており、北朝鮮と関連のあるKimsuky、APT37、Lazarusなどのグループとしばしば関連付けられるパターンです。
時間の経過とともに、オペレータは単純なデコード機能を追加し、ペイロードをLNK引数に直接ハードコーディングすることでツールをアップグレードしました。
被害者がおとりを開くと、韓国のビジネステーマと一致した正当に見えるPDFが表示されますが、PowerShellコードはバックグラウンドで静かに実行されます。
過去の波は2024年以来、GitHub C2 URLとアクセストークンを難読化するために基本的な文字列連結を使用していたとFortiGuard Labsによると報告されています。
GitHubバックアップマルウェア
デコードされたPowerShellスクリプトは、まずVMware、VirtualBox、IDA、dnSpy、Wireshark、Fiddler、x64dbg、Process Hackerプロセスなどの仮想化、デバッグ、フォレンジックツールをスキャンして、ラボで実行されているかどうかを確認します。
これらのいずれかが見つかった場合、スクリプトは直ちに終了し、分析者がその後のステージを観察するのをブロックします。分析ツールが検出されない場合、スクリプトはBase64エンコードされた文字列を再構成し、VBScriptペイロードを%Temp%の下のランダムに名前が付けられたフォルダーに書き込みます。
再起動を生き残るため、マルウェアは隠れたスケジュールされたタスクを登録し、VBScriptをwscript.exeを使用して30分ごとに実行し、正当なエントリに溶け込むように設計された長いドキュメントのようなタスク名を持ちます。
最新のバリアントはほぼすべての識別可能なメタデータを削除し、ファイルパス、長さ、およびXORキーを取得してデコイPDFと次段階のPowerShellスクリプトの両方をアンパックするデコーダーp1のみを保持しています。
このVBScriptは、隠れたウィンドウでPowerShellペイロードを再起動し、ユーザーの視認性を最小限に抑えながら継続的な実行を保証します。
スクリプトはまた、OSバージョン、ビルド、最後のブートタイム、およびプロセスリストなどの詳細なホストデータを収集し、<timestamp>-<IP>-BEGIN.logという名前のファイルにログに記録してから、ハードコードされたアクセストークンを使用してAPIを介してGitHubリポジトリにアップロードします。
研究者はこれらのアップロードを「motoralis」というGitHubユーザーに追跡し、そのプライベートリポジトリと貢献履歴は2025年以降に観察されたLNKベースのフィッシング活動のスパイクと一致しています。
God0808RAMA、Pigresy80、entire73、pandora0009、brandonleeodd93-blipを含む追加のユーザー名は、休止中および新規作成されたアカウントの混在した広範なインフラストラクチャを形成しているようです。
一部のアカウントは数ヶ月間沈黙を保ちますが、他のアカウントは簡単にアクティブになって予備チャネルを提供し、C2レイヤーがテイクダウンに対して弾力的になります。
すべてのペイロードとログはプライベートGitHubリポジトリに保存されているため、ディフェンダーはそれらを直接検査することはできませんが、トラフィックは依然として企業ネットワークでしばしば許可される通常の暗号化されたGitHubアクティビティに見えます。
これは、脅威アクターが開発者サービスからファイル共有ツールまでの信頼できるパブリックプラットフォームをハイジャックして、マルウェアをホストしてデータを流出させながら、URLおよびドメインベースのブロッキングを回避する、より広いトレンドを反映しています。
最終段階:継続的なGitHubコントロール
3番目のステージでは、より単純なPowerShellコンポーネントがGitHubホストのC2とのライブ接続を維持することに焦点を当てています。
これは定期的にmotoralisリポジトリの下の生のGitHubファイルパスからコマンドまたは追加モジュールをプルし、以前に作成されたスケジュールされたタスクをハートビートとして使用します。
専用の「キープアライブ」スクリプトはまたライブネットワーク構成データを収集し、PUTメソッドでGitHubにプッシュバックして、<Date>_<Time>-<IP>-Real.logとしてフォーマットされたパスの下にログを保存します。
LNKショートカット、ネイティブWindowsスクリプト(PowerShellおよびVBScript)、スケジュールされたタスク、およびGitHub APIを連鎖させることにより、攻撃者は従来の実行可能なドロッパーを回避し、ディスク上のフットプリントを削減します。
セキュリティチームは、予期しないLNKおよびドキュメントファイルを注意深く扱い、PowerShellおよびwscriptアクティビティの周囲の監視を厳しくし、異常なAPIコールまたはアクセスパターンを発見するためにGitHub使用をベースライン化することをお勧めします。
翻訳元: https://gbhackers.com/github-backed-malware/
