Észak-koreai kampány LNK és a GitHub C2 kihasználással
A Fortinet elemzése egy észak-koreai kampányt mutat be, amely során a támadók a felhasználói viselkedést, a legitim platformokat és a natív rendszereszközöket kombinálva hoznak létre alacsony zajszintű, hosszú távon fenntartható kiberkémkedési képességet.
A támadás kiindulópontja rosszindulatú LNK fájlok, amelyek legitim dokumentumoknak, jellemzően PDF-eknek álcázzák magukat. Amikor a felhasználó megnyitja ezeket, egy látszólag normál dokumentum jelenik meg, miközben a háttérben egy beágyazott PowerShell script fut le. Ez a decoy + háttérvégrehajtás modell a klasszikus felhasználói megtévesztés egyik kifinomult formája.
A kampány technikai fejlődése különösen fontos. A korai verziók egyszerű obfuszkációt használtak, azonban az újabb változatok már kódolt payloadokat és beépített dekódoló függvényeket tartalmaznak közvetlenül az LNK fájlban, így csökkentve a külső komponensek szükségességét és a detektálhatóságot.
A második fázisban a PowerShell script egy komplex műveletsort hajt végre. Először anti-analysis ellenőrzéseket futtat, például virtuális gépek, debuggerek és biztonsági eszközök jelenlétét vizsgálja. Ha ilyen környezetet észlel, leáll, így megnehezíti a sandbox és malware-elemzést. Ezt követően payloadot dekódol, ideiglenes könyvtárba helyezi, majd perzisztenciát alakít ki ütemezett feladatokon keresztül, amely rendszeresen újraindítja a kártékony kódot.
A kampány egyik legkritikusabb eleme a GitHub mint C2 infrastruktúra használata. A malware a GitHub API-n keresztül kommunikál, oda tölti fel az összegyűjtött adatokat, és onnan tölti le a további parancsokat. Mivel a GitHub egy széles körben megbízható és gyakran whitelistelt platform, a forgalom legitim HTTPS kommunikációnak tűnik, így könnyen elkerüli a hagyományos hálózati detekciót.
A támadók több GitHub fiókot használnak párhuzamosan, aktív és alvó accountokat kombinálva, ami redundanciát biztosít és megnehezíti az infrastruktúra lekapcsolását. A műveletek gyakran privát repository-kban zajlanak, így az aktivitás rejtve marad a nyilvános megfigyelés elől.
