Se ha observado que actores de amenazas probablemente asociados con la República Popular Democrática de Corea (RPDC) utilizan GitHub como infraestructura de comando y control (C2) en ataques de múltiples etapas dirigidos a organizaciones en Corea del Sur.

La cadena de ataque, por Laboratorios Fortinet FortiGuardinvolucra archivos de acceso directo de Windows (LNK) ofuscados que actúan como punto de partida para colocar un documento PDF señuelo y un script de PowerShell que prepara el escenario para la siguiente fase del ataque. Se considera que estos archivos LNK se distribuyen a través de correos electrónicos de phishing.

Tan pronto como se descargan las cargas útiles, a la víctima se le muestra el documento PDF, mientras que el script malicioso de PowerShell se ejecuta silenciosamente en segundo plano. El script de PowerShell realiza comprobaciones para resistir el análisis mediante la búsqueda de procesos en ejecución relacionados con máquinas virtuales, depuradores y herramientas forenses. Si se detecta alguno de esos procesos, el script finaliza inmediatamente.

De lo contrario, extrae un script de Visual Basic (VBScript) y configura la persistencia mediante una tarea programada que inicia la carga útil de PowerShell cada 30 minutos en una ventana oculta para evitar la detección. Esto garantiza que el script de PowerShell se ejecute automáticamente después de cada reinicio del sistema.

Luego, el script de PowerShell perfila el host comprometido, guarda el resultado en un archivo de registro y lo extrae a un repositorio de GitHub creado bajo la cuenta «motoralis» utilizando un token de acceso codificado. Algunas de las cuentas de GitHub creadas como parte de la campaña incluyen «God0808RAMA», «Pigresy80», «entire73», «pandora0009» y «brandonleeodd93-blip».

Luego, el script analiza un archivo específico en el mismo repositorio de GitHub para obtener módulos o instrucciones adicionales, lo que permite al operador utilizar como arma la confianza asociada con una plataforma como GitHub para integrarse y mantener un control persistente sobre el host infectado.

Fortinet dijo que las versiones anteriores de la campaña se basaban en archivos LNK para difundir familias de malware como Xeno RAT. Vale la pena señalar que el uso de GitHub C2 para distribuir Xeno RAT y su variante MoonPeak fue documentado por ENKI y Trellix el año pasado. Estos ataques fueron atribuidos a un grupo patrocinado por el Estado norcoreano conocido como Kimsuky.

«En lugar de depender de un complejo malware personalizado, el actor de amenazas utiliza herramientas nativas de Windows para su implementación, evasión y persistencia», dijo la investigadora de seguridad Cara Lin. «Al minimizar el uso de archivos PE caídos y aprovechar LolBins, el atacante puede apuntar a una audiencia amplia con una tasa de detección baja».

La divulgación llega como AhnLab detallado una cadena de infección similar basada en LNK de Kimsuky que, en última instancia, resulta en la implementación de una puerta trasera basada en Python.

Los archivos LNK, como antes, ejecutan un script de PowerShell y crean una carpeta oculta en la ruta «C:\windirr» para organizar las cargas útiles, incluido un PDF señuelo y otro archivo LNK que imita un documento de procesador de textos Hangul (HWP). También se implementan cargas útiles intermedias para configurar la persistencia e iniciar un script de PowerShell, que luego usa Dropbox como canal C2 para recuperar un script por lotes.

Luego, el archivo por lotes descarga dos fragmentos de archivos ZIP separados desde un servidor remoto («quickcon[.]store») y los combina para crear un único archivo y extrae de él un programador de tareas XML y una puerta trasera de Python. El programador de tareas se utiliza para iniciar el implante.

El malware basado en Python admite la capacidad de descargar cargas útiles adicionales y ejecutar comandos emitidos desde el servidor C2. Las instrucciones le permiten ejecutar scripts de shell, enumerar directorios, cargar/descargar/eliminar archivos y ejecutar archivos BAT, VBScript y EXE.

Los hallazgos también coinciden con el cambio de ScarCruft de las tradicionales cadenas de ataque basadas en LNK a un dropper basado en HWP OLE para entregar RokRAT, un troyano de acceso remoto utilizado exclusivamente por el grupo de hackers norcoreano, según S2W. Específicamente, el malware está incrustado como un objeto OLE dentro de un documento HWP y se ejecuta mediante carga lateral de DLL.

«A diferencia de cadenas de ataques anteriores que progresaron desde scripts BAT lanzados por LNK hasta shellcode, este caso confirma el uso de malware dropper y downloader recientemente desarrollado para entregar shellcode y la carga útil ROKRAT», dijo la compañía de seguridad de Corea del Sur. dicho.