【安全圈】朝鮮關聯黑客利用 GitHub 作為 C2 基礎設施攻擊韓國

關鍵詞

黑客

據Fortinet FortiGuard Labs觀察，疑似與朝鮮民主主義人民共和國（DPRK）關聯的威脅行為體正在利用GitHub作為命令控制（C2）基礎設施，對韓國組織實施多階段攻擊。

攻擊鏈以混淆的Windows快捷方式（LNK）文件為起點，投放誘餌PDF文檔和PowerShell腳本，為下一階段攻擊做準備。據評估，這些LNK文件通過釣魚郵件分發。

載荷下載后，受害者看到PDF文檔，同時惡意PowerShell腳本在后臺靜默運行。該腳本掃描虛擬機、調試器和取證工具相關運行進程以抵抗分析，檢測到任一進程即立即終止。

否則，腳本提取Visual Basic腳本（VBScript），通過計劃任務設置持久化——每30分鐘在隱藏窗口啟動PowerShell載荷以規避檢測，確保系統每次重啟后自動執行。

隨后，PowerShell腳本分析受感染主機，將結果保存至日志文件，并使用硬編碼訪問令牌外泄至”motoralis”賬戶創建的GitHub倉庫。該活動創建的GitHub賬戶還包括”God0808RAMA”、”Pigresy80″、”entire73″、”pandora0009″和”brandonleeodd93-blip”等。

腳本隨后解析同一GitHub倉庫中的特定文件以獲取額外模塊或指令，使運營者能夠利用GitHub等平臺的信任關系混入其中，維持對受感染主機的持久控制。

Fortinet表示，該活動早期迭代曾依賴LNK文件傳播Xeno RAT等惡意軟件家族。值得注意的是，去年ENKI和Trellix曾記錄利用GitHub C2分發Xeno RAT及其變種MoonPeak的攻擊，這些攻擊被歸因于朝鮮國家支持的組織Kimsuky。

安全研究員Cara Lin表示：”威脅行為體不依賴復雜的定制惡意軟件，而是使用原生Windows工具進行部署、規避和持久化。通過最小化投放PE文件的使用并利用LolBins，攻擊者能夠以低檢測率瞄準廣泛受眾。”

此次披露恰逢AhnLab詳細介紹Kimsuky類似的基于LNK的感染鏈，最終導致基于Python的后門部署。

LNK文件如前所述執行PowerShell腳本，在”C:\windirr”路徑創建隱藏文件夾以存放載荷，包括誘餌PDF和另一個偽裝成Hangul文字處理器（HWP）文檔的LNK文件。同時還部署中間載荷以設置持久化并啟動PowerShell腳本，后者使用Dropbox作為C2通道獲取批處理腳本。

批處理文件隨后從遠程服務器（”quickcon[.]store”）下載兩個獨立的ZIP文件片段，合并為單一檔案，從中提取XML任務調度器和Python后門。任務調度器用于啟動植入程序。

該基于Python的惡意軟件支持下載額外載荷并執行C2服務器發出的命令，可運行shell腳本、列出目錄、上傳/下載/刪除文件，以及運行BAT、VBScript和EXE文件。

這些發現也恰逢ScarCruft從傳統LNK攻擊鏈轉向基于HWP OLE的投放器以投遞RokRAT——該遠控木馬為朝鮮黑客組織獨家使用。據S2W稱，具體而言，惡意軟件作為OLE對象嵌入HWP文檔，通過DLL側加載執行。

這家韓國安全公司表示：”與之前從LNK投放BAT腳本到shellcode的攻擊鏈不同，本案例證實使用新開發的投放器和下載器惡意軟件來投遞shellcode和ROKRAT載荷。”

安全圈

網羅圈內熱點 專注網絡安全

實時資訊一手掌握！

好看你就分享 有用就點個贊

支持「安全圈」就點個三連吧！