Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Хакери поврзани со DPRK користат GitHub како C2 во повеќефазни напади насочени кон Јужна Кореја

Објавено: 07.04.2026

Актери на закани најверојатно поврзани со Демократска Народна Република Кореја (ДНРК) се забележани како го користат GitHub како инфраструктура за командување и контрола (C2) во повеќефазни напади насочени кон организации во Јужна Кореја.

Според Fortinet FortiGuard Labs, синџирот на напад започнува со обфускирани Windows shortcut (LNK) датотеки, кои служат како почетна точка за преземање на лажен PDF документ и PowerShell скрипта што ја подготвува следната фаза од нападот. Се проценува дека овие LNK датотеки се дистрибуираат преку phishing е-пораки.

Штом payload-ите ќе се преземат, на жртвата ѝ се прикажува PDF документот, додека злонамерната PowerShell скрипта тивко се извршува во позадина. Скриптата врши проверки за да избегне анализа, скенирајќи активни процеси поврзани со виртуелни машини, дебагери и форензички алатки. Доколку се детектира некој од тие процеси, скриптата веднаш се прекинува.

Во спротивно, таа извлекува Visual Basic Script (VBScript) и воспоставува постојаност преку закажана задача (scheduled task) која ја стартува PowerShell скриптата на секои 30 минути во скриен прозорец, со цел да избегне детекција. Ова осигурува дека скриптата автоматски се извршува по секое рестартирање на системот.

Потоа, PowerShell скриптата го профилира компромитираниот систем, ги зачувува резултатите во лог-датотека и ги ексфилтрира до GitHub репозиториум креиран под корисничкото име „motoralis“, користејќи вграден (hard-coded) токен за пристап. Некои од GitHub сметките создадени како дел од кампањата се „God0808RAMA“, „Pigresy80“, „entire73“, „pandora0009“ и „brandonleeodd93-blip“.

Скриптата потоа чита специфична датотека во истиот GitHub репозиториум за да преземе дополнителни модули или инструкции, што му овозможува на напаѓачот да ја искористи довербата кон платформи како GitHub за да се прикрие и да одржува постојана контрола врз инфицираниот систем.

Fortinet наведува дека претходните верзии на кампањата користеле LNK датотеки за ширење на malware фамилии како Xeno RAT. Вреди да се напомене дека користењето на GitHub како C2 за дистрибуција на Xeno RAT и неговата варијанта MoonPeak било документирано од ENKI и Trellix минатата година. Овие напади се припишуваат на севернокорејска државно спонзорирана група позната како Kimsuky.

„Наместо да се потпира на сложен сопствен malware, актерот на закани користи вградени Windows алатки за распоредување, избегнување детекција и одржување пристап“, изјави истражувачката за безбедност Cara Lin. „Со минимизирање на користењето на PE датотеки и искористување на LolBins, напаѓачот може да таргетира широка публика со ниска стапка на детекција.“

Ова откритие доаѓа во време кога AhnLab опиша сличен LNK-базиран синџир на инфекција од Kimsuky, кој на крај доведува до распоредување на backdoor напишан во Python.

Како и претходно, LNK датотеките извршуваат PowerShell скрипта и креираат скриена папка во патеката „C:\windirr“ за да ги сместат payload-ите, вклучувајќи лажен PDF и уште една LNK датотека што имитира документ од Hangul Word Processor (HWP). Исто така се распоредуваат и посредни payload-и за воспоставување постојаност и стартување на PowerShell скрипта, која потоа користи Dropbox како C2 канал за преземање на batch скрипта.

Batch датотеката потоа презема два одделни ZIP фрагменти од оддалечен сервер („quickcon[.]store“) и ги комбинира во една архива, од која извлекува XML task scheduler и Python backdoor. Task scheduler-от се користи за стартување на малициозниот код.

Python-базираниот malware поддржува:

  • преземање дополнителни payload-и
  • извршување команди од C2 серверот
  • извршување shell скрипти
  • преглед на директориуми
  • прикачување, преземање и бришење датотеки
  • извршување BAT, VBScript и EXE датотеки

Овие наоди се совпаѓаат и со промената кај ScarCruft, која преминува од традиционални LNK-базирани напади кон HWP OLE-базиран dropper за испорака на RokRAT — тројанец за далечински пристап што ексклузивно го користи оваа севернокорејска хакерска група, според S2W.

Конкретно, malware-от е вграден како OLE објект во HWP документ и се извршува преку DLL side-loading.

„За разлика од претходните синџири на напади кои напредуваа од LNK-базирани BAT скрипти кон shellcode, овој случај потврдува употреба на новоразвиен dropper и downloader malware за испорака на shellcode и ROKRAT payload“, соопшти јужнокорејската компанија за сајбер-безбедност.

Извори:

  • The Hacker News – DPRK-Linked Hackers Use GitHub as C2 in Multi-Stage Attacks Targeting South Korea The Hacker News