Группировки, предположительно связанные с КНДР, активно осваивают легитимные облачные сервисы для скрытого управления вредоносными операциями. По данным Fortinet FortiGuard Labs и южнокорейских исследователей, в последних кампаниях против организаций в Южной Корее GitHub и Dropbox используются как инфраструктура команд и управления (C2), а стартом атаки служат обфусцированные LNK-файлы.
Цепочка атаки: LNK-файл, PowerShell и скрытая активность
Основой сценария является вредоносный Windows LNK-файл, рассылаемый, по оценке экспертов, через фишинговые письма. После запуска ярлык не только открывает для жертвы подложный PDF-документ, создавая иллюзию легитимности, но и незаметно стартует PowerShell-скрипт, который инициирует последующие этапы компрометации.
PowerShell-скрипт в первую очередь выполняет проверки против анализа: сканирует активные процессы на наличие виртуальных машин, отладчиков и судебно‑технических инструментов. При обнаружении подобных процессов скрипт немедленно завершает работу, что затрудняет исследование вредоносной активности в лабораторных условиях.
Если защитные проверки пройдены, скрипт извлекает VBScript и настраивает постоянство с помощью задачи планировщика Windows, запускающей PowerShell-полезную нагрузку каждые 30 минут в скрытом режиме. Это позволяет злоумышленникам сохранять доступ даже после перезагрузки системы и при этом минимизировать риск обнаружения.
GitHub как канал C2 и хранилище данных
После закрепления в системе PowerShell-скрипт проводит профилирование заражённого хоста: собирает информацию о системе, программном обеспечении и окружении. Результаты сохраняются в лог-файл и отправляются в репозиторий GitHub, созданный под учётной записью «motoralis», с использованием жёстко прописанного токена доступа.
Исследователи также зафиксировали связанные учётные записи GitHub, среди которых «God0808RAMA», «Pigresy80», «entire73», «pandora0009», «brandonleeodd93-blip». Далее скрипт считывает специальный файл в том же репозитории, из которого получает дополнительные модули или инструкции. Таким образом, злоумышленники маскируют C2-трафик под обычную работу с популярным разработческим сервисом, что осложняет блокировку на сетевом уровне.
От Xeno RAT к «чистому» PowerShell и LOLBins
Fortinet отмечает, что более ранние версии этой кампании использовали LNK-файлы для распространения вредоносных семейств Xeno RAT и его варианта MoonPeak, также управляемых через GitHub. Эти атаки ранее документировались компаниями ENKI и Trellix и связывались с северокорейской группой Kimsuky.
Нынешний подход опирается в основном на встроенные инструменты Windows (LOLbins) и скрипты, а не на тяжёлые исполняемые файлы. Как подчёркивают исследователи, злоумышленники «вместо сложного кастомного вредоносного ПО используют нативные средства Windows для развертывания, уклонения от обнаружения и обеспечения постоянства», что позволяет им атаковать широкую аудиторию при низком уровне детектирования традиционными антивирусами.
Параллельная кампания: Python-бэкдор и Dropbox как C2
Аналитики AhnLab описывают схожую LNK-цепочку заражения, также приписываемую Kimsuky, но с использованием Dropbox в качестве канала C2. Как и в предыдущем случае, LNK-файл запускает PowerShell-скрипт, который создаёт скрытую директорию «C:\windirr» и размещает там полезные нагрузки, включая подложный PDF и дополнительный LNK-файл, имитирующий документ Hangul Word Processor (HWP).
Дополнительные промежуточные компоненты отвечают за закрепление и запуск нового PowerShell-скрипта, который уже подключается к Dropbox и загружает пакетный BAT-файл. Этот BAT-скрипт скачивает два фрагмента ZIP-архива с удалённого сервера «quickcon[.]store», объединяет их в единый архив и извлекает из него XML-задачу планировщика и Python-бэкдор, запускаемый через созданную задачу.
Python-имплант поддерживает широкий набор команд с C2-сервера: загрузку дополнительных модулей, выполнение shell-скриптов, перечисление каталогов, загрузку, выгрузку и удаление файлов, а также запуск BAT, VBScript и EXE-файлов. Такой функционал делает его универсальным инструментом для дальнейшей разведки и развития атаки внутри сети.
Эволюция ScarCruft: HWP OLE-дроппер и доставка RokRAT
Параллельно исследователи S2W фиксируют переход другой северокорейской группы, ScarCruft, от традиционных LNK-цепочек к использованию OLE-объектов в документах HWP для доставки удалённого трояна RokRAT, эксклюзивно применяемого этим актором. Вредоносный модуль встраивается как OLE-объект и исполняется через технику подмены библиотек DLL side-loading.
В отличие от прежних сценариев, где цепочка шла от LNK к BAT-скриптам и далее к шеллкоду, новая схема использует специально разработанные дропперы и загрузчики для доставки шеллкода и полезной нагрузки RokRAT. Это демонстрирует постоянную эволюцию инструментов и тактик северокорейских APT-групп, ориентированных на обход современных средств защиты.
Рекомендации по защите от атак с использованием GitHub и Dropbox C2
Организациям рекомендуется усилить контроль за использованием скриптовых интерпретаторов и встроенных утилит Windows, таких как PowerShell, wscript и schtasks. Политики ограниченного запуска, централизованное логирование и анализ команд PowerShell, а также внедрение EDR-решений помогают выявлять аномальное поведение ещё на ранних этапах цепочки атаки.
Особое внимание стоит уделить LNK-файлам в почтовом трафике и вложениям, имитирующим документы HWP и PDF. Фильтрация по типам файлов, «песочницы» для подозрительных вложений и регулярное обучение сотрудников распознаванию фишинговых писем существенно снижают вероятность успешного первоначального проникновения.
Также важно мониторить обращения рабочих станций к облачным сервисам вроде GitHub и Dropbox вне типичных сценариев использования. Настройка правил DLP и прокси, отслеживание нетипичных токенов доступа к репозиториям и анализ создаваемых задач планировщика позволяют своевременно обнаруживать попытки злоупотребления легитимной инфраструктурой.
Учитывая устойчивую тенденцию северокорейских группировок использовать популярные облачные платформы и встроенные средства Windows для скрытого управления атаками, компаниям критически важно пересмотреть свои модели угроз и усилить мониторинг именно этих векторов. Инвестиции в проактивное обнаружение, автоматизированный анализ скриптов и регулярное повышение осведомлённости персонала сегодня становятся одним из ключевых факторов, определяющих устойчивость инфраструктуры к подобным целевым операциям.
