韓国の組織を標的とした高度な新しいフィッシングキャンペーンが、悪質なWindowsショートカット(LNK)ファイルを使用し、GitHubを秘密のコマンド&コントロール(C2)ネットワークとして悪用しています。
FortiGuard Labsによって発見された、これらの継続的な攻撃は、従来のセキュリティ検出を回避しながらマルウェアをデプロイするために設計された多段階実行プロセスを活用しています。
研究者たちは、この活動が北朝鮮の国家支援脅威アクターに関連していると考えており、彼らは頻繁にこれらの戦術を使用して監視およびスパイ活動を拡大しています。
攻撃は、ターゲットが悪質なLNKファイルと相互作用するときに始まります。古いバリアントでは、攻撃者は基本的な文字連結を使用してGitHub C2アドレスとアクセストークンを隠していました。
調査官は、「Hangulドキュメント」の命名規約などのメタデータも発見しており、これらはKimsuky、APT37、Lazarusを含む既知の北朝鮮グループとの活動を強く関連付けています。
しかし、最新の攻撃はこの識別可能なメタデータを完全に削除しています。代わりに、LNKファイルはその引数に隠されたデコード関数を含んでいます。
クリックされると、この関数はデコードを行い、ファイルが正常に開いたと思わせるためのデコイPDFドキュメントをドロップします。同時に、悪質なPowerShellスクリプトがバックグラウンドで静かに実行されます。
このキャンペーンの最も注目すべき側面は、正当な公開インフラストラクチャの悪用です。疑わしい外部サーバーをセットアップする代わりに、攻撃者はハードコードされたアクセストークンを使用して盗まれたシステムログを特定のプライベートGitHubリポジトリにアップロードします。
GitHubは企業ネットワーク環境で頻繁に許可される高い信頼性を持つプラットフォームであるため、この悪質なデータ流出は通常の暗号化されたウェブトラフィックに容易に溶け込みます。
調査を通じて、FortiGuard LabsはGitHub上で攻撃者によって運営されている広大なC2ネットワークを発見しました。
プライマリアカウントは運用ハブとして機能します。対照的に、他のいくつかのアカウントは、プライマリリポジトリが削除された場合に備えて、すぐにバックアップを提供するために休止状態のままです。
すべての悪質なアクティビティをプライベートリポジトリ内で実行することで、脅威アクターは公開ビューから彼らのペイロードを成功裏に隠しています。
この永続的な接続を維持するため、マルウェアは最終的な「キープアライブ」スクリプトを使用します。このスクリプトはターゲットのネットワーク構成を継続的にチェックし、データをGitHubにアップロードします。
また、攻撃者がリポジトリから追加モジュールを取得したり、新しいコマンドを直接発行したりできるようにして、侵害された環境への完全な制御を可能にします。
ネイティブアプリケーションをデプロイと回避に使用することで、攻撃者は検出率が顕著に低いキャンペーンを成功裏に立ち上げることができます。
セキュリティプラットフォームは、現在このスペシフィックな脅威を識別子LNK/Agent.ALN!trで追跡しています。この高度な感染チェーンに対抗するため、組織は信頼できないショートカットファイルに対して注意を払い、堅牢なアンチフィッシングトレーニングを実装することが推奨されます。
さらに、ITチームはネットワーク内の異常なPowerShellまたはVBScriptの実行を積極的に監視して、同様の秘密の侵入を検出および防止する必要があります。
翻訳元: https://cyberpress.org/github-malware-targets-south-korea/