Se ha observado que actores de amenazas probablemente asociados con la República Popular Democrática de Corea (RPDC) utilizan GitHub como infraestructura de comando y control (C2) en ataques de múltiples etapas dirigidos a organizaciones en Corea del Sur.
La prisión de ataque, según Fortinet FortiGuard Labs, involucra archivos de comunicación directo de Windows (LNK) ofuscados que actúan como punto de partida para colocar un documento PDF señuelo y un script de PowerShell que prepara el tablas para la ulterior período del ataque. Se considera que estos archivos LNK se distribuyen a través de correos electrónicos de phishing.
Tan pronto como se descargan las cargas efectos, a la víctima se le muestra el documento PDF, mientras que el script pillo de PowerShell se ejecuta silenciosamente en segundo plano. El script de PowerShell realiza comprobaciones para resistir el investigación mediante la búsqueda de procesos en ejecución relacionados con máquinas virtuales, depuradores y herramientas forenses. Si se detecta alguno de esos procesos, el script finaliza inmediatamente.
De lo contrario, extrae un script de Visual Basic (VBScript) y configura la persistencia mediante una tarea programada que inicia la carga útil de PowerShell cada 30 minutos en una ventana oculta para evitar la detección. Esto garantiza que el script de PowerShell se ejecute automáticamente a posteriori de cada reinicio del sistema.
Luego, el script de PowerShell perfila el host comprometido, cuidador el resultado en un archivo de registro y lo extrae a un repositorio de GitHub creado bajo la cuenta “motoralis” utilizando un token de comunicación codificado. Algunas de las cuentas de GitHub creadas como parte de la campaña incluyen “God0808RAMA”, “Pigresy80”, “entire73”, “pandora0009” y “brandonleeodd93-blip”.
Luego, el script analiza un archivo específico en el mismo repositorio de GitHub para obtener módulos o instrucciones adicionales, lo que permite al cirujano utilizar como armamento la confianza asociada con una plataforma como GitHub para integrarse y ayudar un control persistente sobre el host infectado.
Fortinet dijo que las versiones anteriores de la campaña se basaban en archivos LNK para difundir familias de malware como Xeno RAT. Vale la pena señalar que ENKI y Trellix documentaron el uso de GitHub C2 para distribuir Xeno RAT y su variación MoonPeak el año pasado. Estos ataques fueron atribuidos a un especie patrocinado por el Estado norcoreano conocido como Kimsuky.
“En circunscripción de someterse de un engorroso malware personalizado, el actor de amenazas utiliza herramientas nativas de Windows para su implementación, despreocupación y persistencia”, dijo la investigadora de seguridad Cara Lin. “Al minimizar el uso de archivos PE caídos y emplear LolBins, el atacante puede apuntar a una audiencia amplia con una tasa de detección desvaloración”.
La divulgación se produce cuando AhnLab detalló una prisión de infección similar basada en LNK de Kimsuky que en última instancia resulta en la implementación de una puerta trasera basada en Python.
Los archivos LNK, como ayer, ejecutan un script de PowerShell y crean una carpeta oculta en la ruta “C:windirr” para organizar las cargas efectos, incluido un PDF señuelo y otro archivo LNK que imita un documento de procesador de textos Hangul (HWP). Asimismo se implementan cargas efectos intermedias para configurar la persistencia e iniciar un script de PowerShell, que luego usa Dropbox como canal C2 para recuperar un script por lotes.
Luego, el archivo por lotes descarga dos fragmentos de archivos ZIP separados desde un servidor remoto (“quickcon(.)store”) y los combina para crear un único archivo y extrae de él un programador de tareas XML y una puerta trasera de Python. El programador de tareas se utiliza para propalar el implante.
El malware basado en Python admite la capacidad de descargar cargas efectos adicionales y ejecutar comandos emitidos desde el servidor C2. Las instrucciones le permiten ejecutar scripts de shell, enumerar directorios, cargar/descargar/eliminar archivos y ejecutar archivos BAT, VBScript y EXE.
Los hallazgos todavía coinciden con el cambio de ScarCruft de las tradicionales cadenas de ataque basadas en LNK a un dropper basado en HWP OLE para entregar RokRAT, un troyano de comunicación remoto utilizado exclusivamente por el especie de hackers norcoreano, según S2W. Específicamente, el malware está incrustado como un objeto OLE en el interior de un documento HWP y se ejecuta mediante carga colateral de DLL.
“A diferencia de cadenas de ataques anteriores que progresaron desde scripts BAT lanzados por LNK hasta shellcode, este caso confirma el uso de malware dropper y downloader recientemente desarrollado para entregar shellcode y la carga útil ROKRAT”, dijo la compañía de seguridad de Corea del Sur.
