## 朝鮮民主主義人民共和国（DPRK）の攻撃者がGitHubをC2に悪用 研究者たちは、朝鮮民主主義人民共和国（DPRK）に関連するとみられる攻撃者が、コマンド＆コントロール（C2）インフラストラクチャとして**GitHub**を悪用していることを確認しました。この戦術は、韓国の組織を標的とした多段階攻撃で使用されています。  **Fortinet FortiGuard Labs**のレポートによると、攻撃シーケンスは難読化されたWindowsショートカット（LNK）ファイルから始まります。これらのファイルは、デコイPDFドキュメントと、後続の攻撃フェーズの準備を整える**PowerShell**スクリプトをドロップします。LNKファイルは、フィッシングメールを通じて配布されていると考えられています。 ペイロードがダウンロードされると、被害者はPDFドキュメントを目にしますが、悪意のある**PowerShell**スクリプトはバックグラウンドでサイレントに実行されます。このスクリプトには、仮想マシン、デバッガー、フォレンジックツールに関連する実行中のプロセスを検出することで、分析を回避するためのチェックが含まれています。そのようなプロセスが見つかった場合、スクリプトは直ちに終了します。 ## 永続化と情報漏洩 初期チェックを通過した場合、スクリプトはVisual Basic Script（VBScript）を抽出し、スケジュールされたタスクを使用して永続性を確立します。このタスクは、隠しウィンドウで30分ごとに**PowerShell**ペイロードを起動し、各システム再起動後の実行を保証します。 次に、**PowerShell**スクリプトは侵害されたホストをプロファイルし、結果をログファイルに保存し、ハードコードされたアクセストークンを使用して「motoralis」アカウントの**GitHub**リポジトリにデータを漏洩します。このキャンペーンで使用された他の**GitHub**アカウントには、「God0808RAMA」、「Pigresy80」、「entire73」、「pandora0009」、および「brandonleeodd93-blip」が含まれます。 スクリプトは、同じ**GitHub**リポジトリ内の特定のファイルを解析して、追加のモジュールまたは命令を取得します。これにより、攻撃者は**GitHub**に関連付けられた信頼を利用して、感染したホストに対する永続的な制御を維持することができます。  ## Kimsukyの犯行手口 **Fortinet**は、このキャンペーンの以前のバージョンでは、LNKファイルを使用してXeno RATのようなマルウェアファミリーを拡散していたと指摘しています。Xeno RATとその亜種であるMoonPeakを配布するために**GitHub** C2を使用することは、**ENKI**と**Trellix**によって以前に文書化されており、これらの攻撃は北朝鮮の国家支援グループである**Kimsuky**に起因するとされています。 セキュリティ研究者のCara Lin氏は、攻撃者の戦略を次のように強調しています。「複雑なカスタムマルウェアに依存するのではなく、攻撃者は展開、回避、永続化のためにネイティブなWindowsツールを使用します。ドロップされたPEファイルの数を最小限に抑え、LolBinsを活用することで、攻撃者は検出率の低い広範なオーディエンスを標的にすることができます。」 ## 類似のLNKベース攻撃 今回の発表は、**AhnLab**が**Kimsuky**による同様のLNKベースの感染チェーンを詳細に説明したのと同時期に行われました。このチェーンは、**Python**ベースのバックドアを展開します。この攻撃にも、LNKファイルが**PowerShell**スクリプトを実行し、「C:\windirr」パスに隠しフォルダを作成して、デコイPDFやHangul Word Processor（HWP）ドキュメントを模倣した別のLNKファイルを含むペイロードをステージングするプロセスが含まれています。 中間ペイロードが展開され、永続性が確立され、**PowerShell**スクリプトが起動されます。このスクリプトは、**Dropbox**をC2チャネルとして使用してバッチスクリプトを取得します。このバッチファイルは、リモートサーバーからZIPファイルフラグメントをダウンロードし、それらを結合し、XMLタスクスケジューラと**Python**バックドアを抽出し、タスクスケジューラを使用してインプラントを起動します。 **Python**ベースのマルウェアは、追加のペイロードをダウンロードし、シェルスクリプトの実行、ディレクトリの一覧表示、ファイルのアップロード/ダウンロード/削除、BAT、VBScript、EXEファイルの実行など、C2サーバーからのコマンドを実行できます。 ## ScarCruftの進化する戦術 これらの発見は、**ScarCruft**が従来のLNKベースの攻撃チェーンから、北朝鮮のハッキンググループが独占的に使用するリモートアクセス型トロイの木馬である**RokRAT**を配信するためのHWP OLEベースのドロッパーへの移行とも一致しています。**S2W**によると、マルウェアはHWPドキュメント内のOLEオブジェクトとして埋め込まれ、DLLサイドローディングを介して実行されます。 「以前の攻撃チェーンがLNKでドロップされたBATスクリプトからシェルコードへと進行していたのとは異なり、このケースでは、シェルコードと**RokRAT**ペイロードを配信するために新しく開発されたドロッパーおよびダウンローダーマルウェアの使用が確認されています」と**S2W**は述べています。