Північнокорейські APT-групи дедалі активніше маскують свої операції під легітимний хмарний трафік, використовуючи GitHub та Dropbox як інфраструктуру команд і контролю (C2). За даними Fortinet FortiGuard Labs, AhnLab та S2W, останні цільові кампанії проти організацій у Південній Кореї поєднують LNK-файли, PowerShell-скрипти та вбудовані утиліти Windows, що ускладнює виявлення класичними засобами захисту.
Як працює ланцюжок атаки на базі LNK та PowerShell
Початковим вектором у більшості описаних інцидентів є шкідливий ярлик Windows LNK, доставлений через цілеспрямовані фішингові листи. Після запуску такий ярлик відкриває для жертви підроблений PDF-документ, створюючи враження легітимного файлу, та паралельно непомітно запускає PowerShell-скрипт, що ініціює подальший ланцюжок компрометації.
PowerShell-код одразу виконує перевірки на аналіз та віртуалізацію: сканує активні процеси на наявність відладчиків, інструментів цифрової криміналістики та середовищ віртуальних машин. Якщо виявлено ознаки дослідницького оточення, скрипт самостійно завершує роботу, істотно ускладнюючи реверсинг і динамічний аналіз.
У разі успішного проходження перевірок шкідливий код розгортає VBScript і створює задачу в Планувальнику завдань Windows, яка кожні 30 хвилин у прихованому режимі запускає PowerShell-пейлоад. Такий механізм забезпечує стійку присутність (persistense) навіть після перезавантаження системи та мінімізує помітність для користувача.
GitHub як C2 та сховище даних для групи Kimsuky
Після закріплення у системі PowerShell-скрипт виконує детальне профілювання зараженої машини: збирає інформацію про ОС, встановлене ПЗ та мережеве оточення. Зібрані дані зберігаються у лог-файлі й завантажуються до репозиторію GitHub, пов’язаного з обліковим записом “motoralis”, за допомогою жорстко прописаного токена доступу.
Дослідники також ідентифікували низку споріднених облікових записів GitHub, зокрема “God0808RAMA”, “Pigresy80”, “entire73”, “pandora0009”, “brandonleeodd93-blip”. Зловмисники використовують спеціальний файл у тому ж репозиторії для отримання додаткових модулів та інструкцій. Таким чином, C2-трафік маскується під звичайну роботу розробників із GitHub, що значно ускладнює блокування за мережевими ознаками.
Від Xeno RAT до «living off the land»: еволюція тактик Kimsuky
Раніші хвилі цієї кампанії, описані ENKI та Trellix, базувалися на розгортанні шкідливих сімейств Xeno RAT і його варіанту MoonPeak, також керованих через GitHub. Однак актуальні зразки замість «важких» виконуваних файлів покладаються переважно на вбудовані інструменти Windows (LOLbins) – PowerShell, wscript, schtasks та інші нативні утиліти.
Такий підхід дозволяє APT-групі Kimsuky знижувати рівень детектування традиційними антивірусами і масштабувати атаки на ширшу аудиторію, не витрачаючи ресурси на розробку складного кастомного шкідливого ПЗ.
Кампанія з Dropbox C2 та Python-бекдором
Аналітики AhnLab описують паралельну кампанію, також пов’язану з Kimsuky, де замість GitHub використовується Dropbox як C2‑канал. LNK-файл у цьому сценарії запускає PowerShell-скрипт, який створює приховану директорію “C:\windirr” і розміщує там пейлоади, включно з підробленим PDF та додатковим LNK, що імітує документ Hangul Word Processor (HWP).
Ряд проміжних компонентів відповідає за стійкість та запуск нового PowerShell-скрипта, який підключається до Dropbox і завантажує BAT-файл. Останній отримує два фрагменти ZIP-архіву з віддаленого сервера “quickcon[.]store”, об’єднує їх в один архів і розпаковує XML-задачу планувальника та Python-бекдор, який запускається через створену задачу.
Python-імплант підтримує широкий спектр команд із C2-сервера: завантаження додаткових модулів, виконання shell-команд, перегляд каталогів, роботу з файлами (завантаження, видалення, ексфільтрація), запуск BAT, VBScript та EXE-файлів. Такий функціонал робить його універсальним інструментом для подальшої розвідки та латерального руху всередині мережі.
ScarCruft і RokRAT: з LNK до HWP OLE‑об’єктів
Група ScarCruft, за спостереженнями S2W, еволюціонує від LNK-ланцюжків до використання OLE-об’єктів у документах HWP для доставки ексклюзивного для цього актора трояна віддаленого доступу RokRAT. Шкідливий модуль вбудовується як OLE-об’єкт і виконується через техніку DLL side-loading – підміну легітимних бібліотек шкідливими.
На відміну від попередніх сценаріїв (LNK → BAT → шеллкод), нинішні атаки ScarCruft покладаються на спеціалізовані дропери та завантажувачі, оптимізовані для обходу сучасних засобів виявлення. Це вписується у загальний тренд постійного удосконалення інструментарію північнокорейських APT-груп.
Практичні рекомендації захисту від GitHub/Dropbox C2‑кампаній
Організаціям варто посилити контроль над скриптовими інтерпретаторами та LOLBins. Доцільно застосовувати політики обмеженого запуску PowerShell, wscript та schtasks, увімкнути розширене логування PowerShell і централізований аналіз команд. Рішення класу EDR допомагають виявляти аномальні дії навіть за відсутності класичних сигнатур.
Критично важливо фільтрувати LNK-файли, HWP і PDF-вкладення у поштовому трафіку, використовувати «пісочниці» для автоматичного аналізу підозрілих файлів та регулярно навчати працівників розпізнаванню цільового фішингу.
Окремий напрям – моніторинг доступу до хмарних сервісів, таких як GitHub і Dropbox, поза типовими бізнес-сценаріями. Налаштування правил DLP і проксі-серверів, відстеження нетипових токенів доступу до репозиторіїв, аналіз нових або змінених задач Планувальника Windows дозволяють своєчасно виявляти спроби зловживання легітимною інфраструктурою.
З огляду на стійку тенденцію використання КНДР-пов’язаними APT-групами популярних хмарних платформ і вбудованих засобів Windows, компаніям доцільно переглянути свої моделі загроз і інвестувати в проактивне виявлення скриптових атак. Регулярний аналіз логів, тестування на проникнення та підвищення обізнаності персоналу сьогодні є ключовими кроками для зменшення ризику успішних цільових операцій такого типу.
