Обнаружена сложная кампания кибершпионажа, приписываемая угрозам, имеющим тесные связи с Корейской Народно-Демократической Республикой (КНДР), в которой легитимная платформа GitHub используется в качестве скрытой инфраструктуры управления и контроля (C2). Согласно подробному анализу Fortinet FortiGuard Labs, эта многоэтапная операция специально нацелена на организации в Южной Корее, используя сложную цепочку атак, которая начинается с обфусцированных файлов ярлыков Windows (LNK). Эти вредоносные LNK-файлы служат первоначальным вектором заражения, предназначенным для выполнения скрипта PowerShell, который в конечном итоге развертывает документ PDF-приманку для поддержания иллюзии легитимности, одновременно загружая и выполняя дополнительные вредоносные полезные нагрузки из скомпрометированных репозиториев GitHub.
Стратегическое использование GitHub в качестве канала C2 представляет собой значительную эволюцию в методах работы, позволяя злоумышленникам смешивать свой вредоносный трафик с легитимным глобальным веб-трафиком к доверенным доменам. Эта техника, часто называемая «living-off-the-land» или использованием «легитимной инфраструктуры в злонамеренных целях» (LIM), делает обнаружение исключительно сложным для традиционных инструментов сетевой безопасности. Размещая свои командные скрипты и вторичные полезные нагрузки на широко используемой и доверенной платформе для разработчиков, противники эффективно обходят сетевые фильтры, которые обычно блокируют подключения к известным вредоносным или подозрительным IP-адресам и доменам, тем самым повышая скрытность и устойчивость своих операций.
Методология атаки тщательно спланирована. Первоначальный LNK-файл, часто доставляемый через целевые фишинговые электронные письма, содержит обфусцированные команды PowerShell. При выполнении этот скрипт выполняет несколько функций: извлекает полезную нагрузку следующего этапа из предопределенного репозитория GitHub, создает файл PDF-приманку на системе жертвы, чтобы избежать немедленных подозрений, и устанавливает постоянный канал связи обратно с C2 на GitHub. Последующие этапы включают загрузку дополнительных модулей, способных проводить разведку системы, сбор учетных данных и эксфильтрацию данных, все это организуется через коммиты и обновления проекта GitHub, которые действуют как команды для имплантированного вредоносного ПО.
Эта кампания подчеркивает постоянный и адаптивный характер групп расширенных постоянных угроз (APT), связанных с КНДР, таких как Lazarus Group или Kimsuky, которые известны своими финансово мотивированными операциями и операциями, движимыми шпионажем. Нацеливание на южнокорейские организации соответствует давней модели геополитической киберактивности, исходящей с Севера. Для специалистов по кибербезопасности этот инцидент подчеркивает критическую необходимость усиления мониторинга исходящего трафика к поставщикам программного обеспечения как услуги (SaaS) и платформы как услуги (PaaS), внедрения средств контроля на уровне приложений и обучения пользователей опасностям нежелательных вложений электронной почты, даже тех, которые выглядят как простые ярлыки документов.
