Atores de ameaça provavelmente ligados à República Popular Democrática da Coreia foram observados usando o GitHub como infraestrutura de command-and-control, ou C2, em ataques em múltiplas etapas contra organizações na Coreia do Sul.
Segundo a Fortinet FortiGuard Labs, a cadeia de ataque começa com arquivos Windows shortcut, os LNK, ofuscados, que servem como ponto de partida para baixar um PDF isca e um script em PowerShell que prepara a próxima fase da intrusão.
A avaliação é de que esses arquivos LNK estão sendo distribuídos por meio de phishing emails.
Assim que os payloads são baixados, a vítima visualiza o PDF, enquanto o script malicioso em PowerShell é executado silenciosamente em segundo plano.
O script faz verificações para resistir à análise, buscando processos relacionados a máquinas virtuais, debuggers e ferramentas forenses.
Se algum desses processos for detectado, a execução é encerrada imediatamente.
Caso contrário, o script extrai um Visual Basic Script, o VBScript, e configura persistência por meio de uma scheduled task que executa o payload em PowerShell a cada 30 minutos, em uma janela oculta, para evitar detecção.
Isso garante que o script seja executado automaticamente após cada reinicialização do sistema.
Em seguida, o script em PowerShell faz o perfil do host comprometido, salva o resultado em um arquivo de log e exfiltra esses dados para um repositório no GitHub criado sob a conta “motoralis”, usando um access token embutido no código.
Algumas das contas GitHub criadas como parte da campanha incluem “God0808RAMA”, “Pigresy80”, “entire73”, “pandora0009” e “brandonleeodd93-blip”.
O script então analisa um arquivo específico no mesmo repositório do GitHub para buscar módulos ou instruções adicionais, permitindo ao operador explorar a confiança associada a uma plataforma como o GitHub para se misturar ao tráfego legítimo e manter controle persistente sobre o host infectado.
A Fortinet informou que iterações anteriores da campanha usavam arquivos LNK para disseminar famílias de malware como o Xeno RAT.
Vale lembrar que o uso de GitHub C2 para distribuir o Xeno RAT e sua variante MoonPeak foi documentado pela ENKI e pela Trellix no ano passado.
Esses ataques foram atribuídos a um grupo patrocinado pelo Estado norte-coreano conhecido como Kimsuky.
“Em vez de depender de malware customizado complexo, o agente de ameaça usa ferramentas nativas do Windows para implantação, evasão e persistência”, disse a pesquisadora de segurança Cara Lin.
“Ao reduzir o uso de arquivos PE descartáveis e aproveitar os LolBins, o atacante consegue atingir um público amplo com uma baixa taxa de detecção.”
A divulgação ocorre no momento em que a AhnLab detalhou uma cadeia de infecção semelhante baseada em LNK, atribuída ao Kimsuky, que termina com a implantação de uma backdoor em Python.
Os arquivos LNK, como antes, executam um script em PowerShell e criam uma pasta oculta no caminho “C:\windirr” para preparar os payloads, incluindo um PDF isca e outro arquivo LNK que imita um documento do Hangul Word Processor, o HWP.
Também são implantados payloads intermediários para configurar persistência e iniciar um script em PowerShell, que então usa o Dropbox como canal de C2 para buscar um arquivo batch.
O arquivo batch baixa dois fragmentos separados de ZIP de um servidor remoto, “quickcon[.]store”, e os combina para formar um único arquivo.
Em seguida, extrai dele uma tarefa XML do agendador e uma backdoor em Python.
O agendador é usado para iniciar o implant.
O malware em Python permite baixar payloads adicionais e executar comandos enviados pelo servidor de C2.
As instruções permitem executar shell scripts, listar diretórios, enviar, baixar e excluir arquivos, além de executar arquivos BAT, VBScript e EXE.
As descobertas também coincidem com a mudança do ScarCruft, que deixou as cadeias tradicionais baseadas em LNK para adotar um dropper baseado em HWP OLE a fim de entregar o RokRAT, um trojan de acesso remoto usado exclusivamente pelo grupo de hackers norte-coreano, segundo a S2W.
Nesse caso, o malware é incorporado como um objeto OLE dentro de um documento HWP e executado por meio de DLL side-loading.
“Diferentemente das cadeias de ataque anteriores, que avançavam de scripts BAT acionados por LNK até shellcode, este caso confirma o uso de malware dropper e downloader recém-desenvolvido para entregar shellcode e o payload do ROKRAT”, afirmou a empresa sul-coreana de segurança.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...