Связанные с КНДР злоумышленники предпочитают скрытность изощренности при атаках на южнокорейские организации: исследователи сообщают об использовании вредоносных файлов ярлыков Windows (.LNK) и каналов управления и контроля (C2) на базе GitHub в рамках новой кампании.
Согласно новым данным Fortinet, в серии атак, начавшихся в 2024 году, использовался многоэтапный процесс скриптинга и GitHub C2 для обхода обнаружения, при этом обфускация улучшалась с каждой итерацией кампании.
«За последние месяцы злоумышленник изменил свою тактику», — заявили исследователи Fortinet в посте в блоге. «Теперь они встраивают функции декодирования в аргументы LNK и включают закодированные полезные нагрузки непосредственно внутрь файлов». Продолжающаяся кампания, по-видимому, нацелена на расширение слежки КНДР в Южной Корее. Исследователи отметили, что меньшая обфускация и более тяжелые метаданные в предыдущих итерациях кампании позволили связать ее с атаками, распространяющими вредоносное ПО XenoRAT.
Джейсон Сороко, старший научный сотрудник Sectigo, считает, что эта стратегия соответствует недавней тенденции, когда атакующие полагаются на встроенные утилиты Windows и легитимные сервисы для достижения своих целей. «Современный кибершпионаж фундаментально сместился в сторону высокоэвазивной стратегии, известной как «жизнь за счет земли» (living off the land)», — сказал он, отметив, что злоумышленники все чаще злоупотребляют нативными инструментами, такими как PowerShell и запланированные задачи, чтобы слиться с обычной системной активностью.
Файлы LNK давно известны своей историей эксплуатации, и Microsoft с годами выпускала множество патчей и рекомендаций для пресечения их неправомерного использования.
Файлы LNK используются как скрытые загрузчики
Кампания начинается с заражения через файл ярлыка Windows, который обычно используется для запуска приложений или открытия документов, но также может содержать команды для выполнения скриптов или исполняемых файлов.
«Файл .lnk — это то, как Windows обрабатывает ярлыки: всякий раз, когда вы нажимаете на значок Outlook на рабочем столе, вы на самом деле нажимаете на отдельный файл, который использует изображение Outlook и указывает операционной системе открыть Microsoft Outlook», — объяснил Джейми Бут, старший менеджер по стратегическому консалтингу в области безопасности в Black Duck. «Вы также можете создавать ярлыки (.lnk файлы) на веб-сайты, программы с дополнительными командами, исполняемые скрипты и практически все, что вы могли бы ввести в окне «Выполнить» Windows».
В файлах LNK, используемых в кампании, применяются различные скрипты, включая ранние версии с простой конкатенацией символов для маскировки адреса GitHub C2 и токена доступа, сообщили исследователи, добавив, что было легко определить, что скрипт предназначен для выполнения команды PowerShell, полученной из GitHub.
Более поздние версии перешли к базовым функциям декодирования символов, что немного усложнило обнаружение, но они все еще имели показательные метаданные, такие как имя, размеры и даты изменения, которые позволили исследователям связать их с конкретной кампанией. В столбце «Имя» неоднократно используется «Документ Hangul» — шаблон, соответствующий группам, связанным с государством, таким как Kimsuky, APT37 и Lazarus.
В своей последней итерации операторы кампании удалили идентифицирующие метаданные, теперь используя только функцию декодирования в аргументах.
GitHub как C2
Исследователи также выделили использование GitHub в качестве уровня C2 в кампании. Вместо того чтобы связываться с подозрительно выглядящими или недавно зарегистрированными доменами, вредоносное ПО взаимодействует с репозиториями и API GitHub для получения инструкций и эксфильтрации данных.
«Тот факт, что этот файл ярлыка создает цепочку, которая в конечном итоге выходит на репозиторий GitHub и загружает скрипты через Интернет, должен насторожить сетевых защитников: даже платформы для повышения производительности могут быть векторами атак», — добавил Бут.
После заражения системы скрипты PowerShell выполняют проверки системы, чтобы убедиться, что окружение не находится под анализом, обеспечивают сохранение вредоносного ПО после перезагрузки системы через Запланированную задачу и собирают подробную информацию о системе. Только после этого предпринимается попытка установить стабильное соединение с последующими скриптами, где дополнительные модули и инструкции загружаются из репозитория GitHub злоумышленника.
Исследователи пометили учетную запись GitHub «motoralis» с постоянной активностью, датируемой 2025 годом, и другие менее активные учетные записи, включая «God0808RAMA», «Pigresy80», «entire73», «pandora0009» и «brandonleeodd93-blip».
Кроме того, в посте блога был предоставлен набор URL-адресов и хеш-функций для поддержки усилий по обнаружению.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Shweta Sharma
