概要
Fortinet FortiGuard Labsの調査により、北朝鮮に関連する脅威アクターがGitHubのリポジトリをC2(コマンド&コントロール)インフラとして悪用し、韓国の組織を標的にした多段階攻撃を展開していることが判明した。攻撃はフィッシングメールに添付された難読化済みWindowsショートカット(LNK)ファイルを起点としており、実行すると囮のPDFを表示しながら裏でPowerShellスクリプトを密かに起動する仕組みになっている。
セキュリティ研究者のCara Lin氏は、攻撃者が「PEファイルの展開を最小化し、Windowsネイティブツールを積極的に活用することで、検出率を下げながら標的の範囲を広げている」と指摘している。
技術的な詳細
PowerShellスクリプトには、仮想マシン・デバッグツール・フォレンジック解析ソフトウェアを検出する環境チェック機能が組み込まれており、分析環境と判断した場合は即座に実行を終了する。チェックを通過すると、Visual Basicスクリプトをドロップし、PowerShellペイロードを30分おきに隠しウィンドウで起動するWindowsスケジュールタスクを登録することで持続性を確立する。
収集したシステム情報はハードコードされたアクセストークンを使用してGitHubリポジトリへ送信される。攻撃に使用されたGitHubアカウントとして「motoralis」「God0808RAMA」「Pigresy80」が確認されている。攻撃者はGitHubリポジトリ上の特定ファイルを解析して追加モジュールや指令を取得する手法を採用しており、GitHubの信頼性が高いドメインを利用することでネットワーク監視による検出を回避している。
帰属と過去の活動
ENKIおよびTrellix社はいずれも、GitHub C2を利用した類似の攻撃をKimsuky(北朝鮮国家支援の脅威グループ)に帰属させている。以前のキャンペーンではLNKファイルを介してXeno RATやMoonPeakが配布されており、AhnLabも同様のLNK感染チェーンを記録している。このチェーンではDropboxを経由したPythonベースのバックドアが使用されている。また、別の北朝鮮系脅威グループであるScarCruftも、従来のLNKベースの攻撃チェーンからHWP OLEベースのドロッパーへと手法を移行し、ScarCruft専用のリモートアクセス型トロイの木馬「RokRAT」を展開していることが報告されている。GitHubのような広く信頼されたサービスをC2インフラとして悪用する手口は、従来のセキュリティ対策をかいくぐるための巧妙な戦術として今後も続く可能性が高い。