## DPRK-Akteure missbrauchen GitHub für C2 Forscher haben beobachtet, dass Bedrohungsakteure, die wahrscheinlich mit der Demokratischen Volksrepublik Korea (DVRK) in Verbindung stehen, **GitHub** als Command-and-Control (C2)-Infrastruktur ausnutzen. Diese Taktik wird in mehrstufigen Angriffen auf Organisationen in Südkorea eingesetzt.  Laut einem Bericht von **Fortinet FortiGuard Labs** beginnt die Angriffskette mit obfuskierten Windows-Verknüpfungsdateien (LNK). Diese Dateien hinterlassen ein Lockvogel-PDF-Dokument und ein **PowerShell**-Skript, das die Bühne für nachfolgende Angriffsphasen bereitet. Die LNK-Dateien werden vermutlich über Phishing-E-Mails verbreitet. Sobald die Payloads heruntergeladen sind, sieht das Opfer das PDF-Dokument, während das bösartige **PowerShell**-Skript still im Hintergrund läuft. Das Skript enthält Prüfungen zur Umgehung der Analyse, indem es laufende Prozesse erkennt, die mit virtuellen Maschinen, Debuggern und Forensik-Tools zusammenhängen. Werden solche Prozesse gefunden, wird das Skript sofort beendet. ## Persistenz und Exfiltration Wenn die anfänglichen Prüfungen erfolgreich sind, extrahiert das Skript ein Visual Basic Script (VBScript) und etabliert Persistenz mithilfe einer geplanten Aufgabe. Diese Aufgabe startet die **PowerShell**-Payload alle 30 Minuten in einem versteckten Fenster, um die Ausführung nach jedem Systemneustart sicherzustellen. Als Nächstes profiliert das **PowerShell**-Skript den kompromittierten Host, speichert die Ergebnisse in einer Protokolldatei und exfiltriert die Daten in ein **GitHub**-Repository unter dem Konto "motoralis" mithilfe eines hartcodierten Zugriffstokens. Andere in dieser Kampagne verwendete **GitHub**-Konten umfassen "God0808RAMA", "Pigresy80", "entire73", "pandora0009" und "brandonleeodd93-blip". Das Skript parst dann eine bestimmte Datei im selben **GitHub**-Repository, um zusätzliche Module oder Anweisungen abzurufen. Dies ermöglicht es dem Angreifer, das Vertrauen, das mit **GitHub** verbunden ist, zu nutzen, um sich einzufügen und die persistente Kontrolle über den infizierten Host aufrechtzuerhalten.  ## Kimsukys Modus Operandi **Fortinet** stellt fest, dass frühere Versionen dieser Kampagne LNK-Dateien zur Verbreitung von Malware-Familien wie Xeno RAT verwendeten. Die Verwendung von **GitHub** C2 zur Verbreitung von Xeno RAT und seiner Variante MoonPeak wurde bereits von **ENKI** und **Trellix** dokumentiert, die diese Angriffe der nordkoreanischen staatlich unterstützten Gruppe **Kimsuky** zuschreiben. Der Sicherheitsforscher Cara Lin hebt die Strategie des Angreifers hervor: "Anstatt sich auf komplexe benutzerdefinierte Malware zu verlassen, verwendet der Bedrohungsakteur native Windows-Tools für Bereitstellung, Umgehung und Persistenz. Durch die Minimierung der Verwendung von abgelegten PE-Dateien und die Nutzung von LolBins kann der Angreifer ein breites Publikum mit einer niedrigen Erkennungsrate ansprechen." ## Ähnliche LNK-basierte Angriffe Die Veröffentlichung fällt mit der detaillierten Beschreibung einer ähnlichen LNK-basierten Infektionskette von **Kimsuky** durch **AhnLab** zusammen, die zur Bereitstellung eines **Python**-basierten Backdoors führt. Dieser Angriff beinhaltet ebenfalls LNK-Dateien, die ein **PowerShell**-Skript ausführen und einen versteckten Ordner im Pfad "C:\windirr" erstellen, um Payloads zu lagern, darunter ein Lockvogel-PDF und eine weitere LNK-Datei, die ein Hangul Word Processor (HWP)-Dokument imitiert. Zwischen-Payloads werden bereitgestellt, um Persistenz einzurichten und ein **PowerShell**-Skript zu starten, das **Dropbox** als C2-Kanal nutzt, um eine Batch-Datei abzurufen. Diese Batch-Datei lädt ZIP-Datei-Fragmente von einem entfernten Server herunter, kombiniert sie, extrahiert einen XML-Task-Scheduler und einen **Python**-Backdoor und verwendet den Task-Scheduler, um den Implantat zu starten. Die **Python**-basierte Malware kann zusätzliche Payloads herunterladen und Befehle vom C2-Server ausführen, einschließlich des Ausführens von Shell-Skripten, des Auflistens von Verzeichnissen, des Hochladens/Herunterladens/Löschens von Dateien und des Ausführens von BAT-, VBScript- und EXE-Dateien. ## ScarCrufts sich entwickelnde Taktiken Diese Ergebnisse stimmen auch mit der Verlagerung von **ScarCruft** von traditionellen LNK-basierten Angriffsketten hin zu einem HWP OLE-basierten Dropper überein, um **RokRAT** zu liefern, einen Remote-Access-Trojaner, der ausschließlich von der nordkoreanischen Hacking-Gruppe verwendet wird. Laut **S2W** ist die Malware als OLE-Objekt in einem HWP-Dokument eingebettet und wird über DLL-Side-Loading ausgeführt. "Im Gegensatz zu früheren Angriffsketten, die von LNK-gefallenen BAT-Skripten zu Shellcode übergingen, bestätigt dieser Fall die Verwendung von neu entwickelter Dropper- und Downloader-Malware zur Bereitstellung von Shellcode und der **RokRAT**-Payload", so **S2W**.