攻击从伪装的Windows快捷方式文件LNK开始。根据Fortinet FortiGuard Labs的报告,这些LNK文件通过钓鱼邮件传播。一旦受害者点击,系统下载诱饵PDF文档,同时PowerShell脚本悄然运行。脚本先扫描虚拟机、调试器和取证工具相关进程。检测到这些就立刻退出。否则,它解压VBScript脚本,并在后台创建定时任务。这个任务每30分钟启动一次PowerShell载荷,确保重启后自动执行。Fortinet研究员Cara Lin指出,黑客偏好本土Windows工具部署、逃逸和持久化,减少丢弃PE文件风险,检测率低。
PowerShell脚本收集主机信息,存入日志文件,然后上传到GitHub仓库。仓库属于账户"motoralis",使用硬编码访问令牌。相关GitHub账户还有"God0808RAMA"、"Pigresy80"、"entire73"、"pandora0009"和"brandonleeodd93-blip"。脚本解析仓库特定文件,获取模块或指令。黑客借GitHub的信任混迹其中,保持对受感染主机的持久控制。链上数据显示,早前版本用LNK传播Xeno RAT。ENKI和Trellix去年记录过类似用GitHub分发Xeno RAT和MoonPeak变种。这些攻击归于朝鲜国家支持的Kimsuky组织。
AhnLab披露类似LNK感染链,也来自Kimsuky,最终部署Python后门。LNK执行PowerShell,在C:\windirr路径建隐藏文件夹,放置诱饵PDF和模拟韩文文字处理器HWP的LNK。中间载荷设置持久化,启动PowerShell用Dropbox作C2通道,下载批处理脚本。批处理从quickcon[.]store拉取两个ZIP片段,合并解压成XML任务调度器和Python后门。调度器激活植入物。后门支持下载载荷、执行C2命令,包括运行Shell脚本、列目录、上传下载删除文件,以及BAT、VBS和EXE。S2W观察到ScarCruft从传统LNK链转向HWP OLE掉落器,交付专属RokRAT远程访问木马。木马嵌入HWP OLE对象,通过DLL侧载执行。新掉落器和下载器运送Shellcode和RokRAT载荷。
这些攻击凸显朝鲜黑客对韩国目标的持续兴趣。LNK文件简化初始入侵,GitHub等合法平台掩护C2。组织需警惕钓鱼邮件和异常GitHub活动。Fortinet强调,低检测率源于LolBins滥用,覆盖面广。