FortiGuard Labsのサイバーセキュリティリサーチャーたちが、韓国内のさまざまな企業を標的とした高度に洗練されたフィッシングキャンペーンを発見しました。
北朝鮮の国家支援グループと強く関連した戦術を示す脅威アクターが、GitHubを指令統制(C2)サーバとして積極的に悪用し、ステルス性の高い多段階攻撃を実行しています。
正規のプラットフォームを悪用し、ネイティブなWindowsツールに依存することで、攻撃者は標準的なセキュリティ防御を回避し、信頼できるオープンソースプラットフォームを秘密の悪意あるオペレーションハブへと変貌させています。
攻撃チェーンは、標的となったユーザーが標準的で無害なPDFドキュメントに見せかけた悪意のあるLNKファイルを受け取ることから始まります。
疑わぬ被害者がそのファイルをクリックすると、疑いを避けるためにデコイPDFが同時に表示される一方で、バックグラウンドでデコーディング関数が静かに実行されます。
この関数は悪意のあるPowerShellスクリプトを展開し、ステルス性の高い一連のシステム侵害をトリガーして永続的なアクセスを確立します。
この標的型キャンペーンの最も懸念される側面は、侵害されたマシンを管理するためのGitHub APIの戦略的な悪用です。
GitHub経由で指令統制通信をルーティングすることで、攻撃者は悪意のあるトラフィックを通常の暗号化されたウェブ接続内に隠すことに成功しています。
企業環境ではGitHubがソフトウェア開発のために広くホワイトリスト化されて信頼されているため、自動化されたデータ流出は通常のネットワーク活動に容易に溶け込みます。
攻撃者は長期にわたるスパイ活動を維持するために、アクティブで休止状態のGitHubアカウントの複雑なネットワークを積極的に管理しています。
「motoralis」として識別されたプライマリアカウントは、盗まれたデータの受信と新しい悪意のあるコマンドの発行のための中央オペレーショナルハブとして機能しています。
その他のセカンダリアカウントは数ヶ月間ほぼ非アクティブなままで、メインアカウントが発見された場合に冗長性を提供するための即座のバックアップインフラストラクチャとして機能しています。
専用の「keep-alive」スクリプトを通じて、脅威アクターは被害者のネットワーク状態をリアルタイムで継続的に監視しています。
このメカニズムは彼らのプライベートGitHubリポジトリから追加モジュールを取得して、侵害された環境に対する制御をより深めます。
正規のツールと信頼されたウェブサービスのこの組み合わせは、企業のセキュリティフィルタを完全に回避する非常に効果的な感染チェーンを作成しています。
このフィッシングキャンペーンは、高度なサイバー犯罪者の間で危険で増加し続けているトレンドを浮き彫りにしています。すなわち、カスタムマルウェアファイルの使用を最小化し、「Living off the Land」技術を優先することです。
PowerShellやVBScriptなどのネイティブなWindowsツールにほぼ完全に依存することで、攻撃者はデジタルフットプリントを著しく減らしています。
組織は信頼できないドキュメントに対する警戒を続け、これらの見えない脅威を阻止するための高度なエンドポイント保護を展開することを強く推奨されています。
セキュリティチームは、コンテンツ無効化・再構成(CDR)サービスを活用して、疑わしいドキュメントからアクティブなコードを削除しながら、その有用性を保持することもできます。
これらの防御対策は、このキャンペーンに関連するインフラストラクチャをブロックし、機密の企業データを保護するために不可欠です。
翻訳元: https://cyberpress.org/github-fuels-lnk-phishing/