受朝鲜支持的 APT 组织 Kimsuky 通过将 GitHub 存储库武器化以进行恶意软件传播和数据泄露,从而升级了其网络行动,这标志着其攻击方法的复杂演变。
此次最新活动表明,该组织在滥用合法云基础设施逃避传统安全措施的同时,保持对受感染系统的持续访问方面日益熟练。
攻击链始于一个恶意 ZIP 存档,其中包含伪装成电子税务发票的 LNK 文件(전자세금계산서.pdf.lnk)。
执行时,此武器化的快捷方式会启动PowerShell命令,从攻击者控制的 GitHub 存储库下载并执行其他恶意脚本。
初始有效载荷为系统数据收集奠定了基础,并在受感染的系统上保持长期持久性。
S2W 研究人员确定了与此活动相关的九个私人 GitHub 存储库,包括 group_0717、group_0721、test、hometax 和 group_0803。
威胁行为者将硬编码的 GitHub Private Tokens 直接嵌入到他们的 PowerShell 脚本中来访问这些存储库,展示了谨慎的操作安全规划。
对提交历史记录的分析揭示了攻击者在创建 GitHub 帐户时使用的电子邮件地址(sahiwalsuzuki4[@]gmail.com)。
该恶意软件的持久机制代表了一种维持长期访问的特别复杂的方法。
首次感染时,main.ps1 脚本会在 %AppData% 目录下创建一个名为 MicrosoftEdgeUpdate.ps1 的文件,并建立一个名为“BitLocker MDM policy Refresh{DBHDFE12-496SDF-Q48D-SDEF-1865BCAD7E00}”的计划任务。
此任务在最初的 5 分钟延迟后每 30 分钟执行一次,创建一个自动化系统,用于从GitHub存储库获取和执行更新的 PowerShell 脚本。
动态脚本管理和信息收集
该恶意软件采用动态脚本管理系统,为受感染的系统添加时间戳并创建用于数据泄露的自定义文件夹。
PowerShell 有效负载从存储库下载名为 real.txt 的文件,用带时间戳的值(ntxBill_{MMdd_HHmm})替换占位符字符串,然后使用特定时间的文件名格式重新上传修改后的脚本。
该机制允许攻击者追踪单个感染并同时管理多个受感染的系统。
信息窃取组件收集全面的系统元数据,包括 IP 地址、启动时间、操作系统详细信息、硬件规格、设备类型、安装日期和正在运行的进程。
所有收集到的数据都被编译成日志文件,并上传到攻击者的存储库中的带时间戳的文件夹下,从而为威胁行为者创建一个有组织的情报数据库。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
