🔥 Fique por dentro das novidades mais quentes do momento! 🔥
Leia, comente e fique sempre atualizado!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Atores de ameaças provavelmente associados à República Popular Democrática da Coreia (RPDC) foram observados usando o GitHub como infraestrutura de comando e controle (C2) em ataques em vários estágios direcionados a organizações na Coreia do Sul.
A cadeia de ataque, de acordo com o Fortinet FortiGuard Labs, envolve arquivos de atalho ofuscados do Windows (LNK) que atuam como ponto de partida para descartar um documento PDF falso e um script do PowerShell que prepara o terreno para a próxima fase do ataque. Avalia-se que esses arquivos LNK são distribuídos por e-mails de phishing.
Assim que as cargas são baixadas, o documento PDF é exibido à vítima, enquanto o script malicioso do PowerShell é executado silenciosamente em segundo plano. O script do PowerShell realiza verificações para resistir à análise, verificando processos em execução relacionados a máquinas virtuais, depuradores e ferramentas forenses. Se algum desses processos for detectado, o script será encerrado imediatamente.
Caso contrário, ele extrai um script Visual Basic (VBScript) e configura a persistência usando uma tarefa agendada que inicia a carga do PowerShell a cada 30 minutos em uma janela oculta para evitar a detecção. Isso garante que o script do PowerShell seja executado automaticamente após cada reinicialização do sistema.
O script do PowerShell cria o perfil do host comprometido, salva o resultado em um arquivo de registro e o exfiltra em um repositório GitHub criado na conta "motoralis" usando um token de acesso codificado. Algumas das contas do GitHub criadas como parte da campanha incluem "God0808RAMA", "Pigresy80", "entire73", "pandora0009" e "brandonleeodd93-blip".
O script então analisa um arquivo específico no mesmo repositório do GitHub para buscar módulos ou instruções adicionais, permitindo assim que o operador aproveite a confiança associada a uma plataforma como o GitHub para se misturar e manter controle persistente sobre o host infectado.
A Fortinet disse que as iterações anteriores da campanha dependiam de arquivos LNK para espalhar famílias de malware como o Xeno RAT. É importante notar que o uso do GitHub C2 para distribuir o Xeno RAT e sua variante MoonPeak foi documentado por ENKI e Trellix no ano passado. Esses ataques foram atribuídos a um grupo patrocinado pelo Estado norte-coreano conhecido como Kimsuky.
“Em vez de depender de malware personalizado complexo, o agente da ameaça usa ferramentas nativas do Windows para implantação, evasão e persistência”, disse a pesquisadora de segurança Cara Lin. "Ao minimizar o uso de arquivos PE descartados e aproveitar o LolBins, o invasor pode atingir um público amplo com uma baixa taxa de detecção."
A divulgação ocorre no momento em que o AhnLab detalha uma cadeia de infecção semelhante baseada em LNK de Kimsuky que, em última análise, resulta na implantação de um backdoor baseado em Python.
Os arquivos LNK, como antes, executam um script do PowerShell e criam uma pasta oculta no caminho "C:\windirr" para preparar as cargas, incluindo um PDF isca e outro arquivo LNK que imita um documento Hangul Word Processor (HWP). Também são implantadas cargas intermediárias para configurar a persistência e iniciar um script do PowerShell, que então usa o Dropbox como um canal C2 para buscar um script em lote.
O arquivo em lote então baixa dois fragmentos de arquivo ZIP separados de um servidor remoto ("quickcon[.]store") e os combina para criar um único arquivo e extrai dele um agendador de tarefas XML e um backdoor Python. O agendador de tarefas é usado para iniciar o implante.
O malware baseado em Python suporta a capacidade de baixar cargas adicionais e executar comandos emitidos pelo servidor C2. As instruções permitem executar scripts de shell, listar diretórios, fazer upload/download/excluir arquivos e executar arquivos BAT, VBScript e EXE.
As descobertas também coincidem com a mudança do ScarCruft das cadeias de ataque tradicionais baseadas em LNK para um dropper HWP baseado em OLE para entregar o RokRAT, um trojan de acesso remoto usado exclusivamente pelo grupo de hackers norte-coreano, de acordo com S2W. Especificamente, o malware é incorporado como um objeto OLE em um documento HWP e executado por meio de carregamento lateral de DLL.
"Ao contrário das cadeias de ataques anteriores que progrediram de scripts BAT descartados por LNK para shellcode, este caso confirma o uso de malware dropper e downloader recém-desenvolvido para entregar shellcode e a carga ROKRAT", disse a empresa de segurança sul-coreana.
A cadeia de ataque, de acordo com o Fortinet FortiGuard Labs, envolve arquivos de atalho ofuscados do Windows (LNK) que atuam como ponto de partida para descartar um documento PDF falso e um script do PowerShell que prepara o terreno para a próxima fase do ataque. Avalia-se que esses arquivos LNK são distribuídos por e-mails de phishing.
Assim que as cargas são baixadas, o documento PDF é exibido à vítima, enquanto o script malicioso do PowerShell é executado silenciosamente em segundo plano. O script do PowerShell realiza verificações para resistir à análise, verificando processos em execução relacionados a máquinas virtuais, depuradores e ferramentas forenses. Se algum desses processos for detectado, o script será encerrado imediatamente.
Caso contrário, ele extrai um script Visual Basic (VBScript) e configura a persistência usando uma tarefa agendada que inicia a carga do PowerShell a cada 30 minutos em uma janela oculta para evitar a detecção. Isso garante que o script do PowerShell seja executado automaticamente após cada reinicialização do sistema.
O script do PowerShell cria o perfil do host comprometido, salva o resultado em um arquivo de registro e o exfiltra em um repositório GitHub criado na conta "motoralis" usando um token de acesso codificado. Algumas das contas do GitHub criadas como parte da campanha incluem "God0808RAMA", "Pigresy80", "entire73", "pandora0009" e "brandonleeodd93-blip".
O script então analisa um arquivo específico no mesmo repositório do GitHub para buscar módulos ou instruções adicionais, permitindo assim que o operador aproveite a confiança associada a uma plataforma como o GitHub para se misturar e manter controle persistente sobre o host infectado.
A Fortinet disse que as iterações anteriores da campanha dependiam de arquivos LNK para espalhar famílias de malware como o Xeno RAT. É importante notar que o uso do GitHub C2 para distribuir o Xeno RAT e sua variante MoonPeak foi documentado por ENKI e Trellix no ano passado. Esses ataques foram atribuídos a um grupo patrocinado pelo Estado norte-coreano conhecido como Kimsuky.
“Em vez de depender de malware personalizado complexo, o agente da ameaça usa ferramentas nativas do Windows para implantação, evasão e persistência”, disse a pesquisadora de segurança Cara Lin. "Ao minimizar o uso de arquivos PE descartados e aproveitar o LolBins, o invasor pode atingir um público amplo com uma baixa taxa de detecção."
A divulgação ocorre no momento em que o AhnLab detalha uma cadeia de infecção semelhante baseada em LNK de Kimsuky que, em última análise, resulta na implantação de um backdoor baseado em Python.
Os arquivos LNK, como antes, executam um script do PowerShell e criam uma pasta oculta no caminho "C:\windirr" para preparar as cargas, incluindo um PDF isca e outro arquivo LNK que imita um documento Hangul Word Processor (HWP). Também são implantadas cargas intermediárias para configurar a persistência e iniciar um script do PowerShell, que então usa o Dropbox como um canal C2 para buscar um script em lote.
O arquivo em lote então baixa dois fragmentos de arquivo ZIP separados de um servidor remoto ("quickcon[.]store") e os combina para criar um único arquivo e extrai dele um agendador de tarefas XML e um backdoor Python. O agendador de tarefas é usado para iniciar o implante.
O malware baseado em Python suporta a capacidade de baixar cargas adicionais e executar comandos emitidos pelo servidor C2. As instruções permitem executar scripts de shell, listar diretórios, fazer upload/download/excluir arquivos e executar arquivos BAT, VBScript e EXE.
As descobertas também coincidem com a mudança do ScarCruft das cadeias de ataque tradicionais baseadas em LNK para um dropper HWP baseado em OLE para entregar o RokRAT, um trojan de acesso remoto usado exclusivamente pelo grupo de hackers norte-coreano, de acordo com S2W. Especificamente, o malware é incorporado como um objeto OLE em um documento HWP e executado por meio de carregamento lateral de DLL.
"Ao contrário das cadeias de ataques anteriores que progrediram de scripts BAT descartados por LNK para shellcode, este caso confirma o uso de malware dropper e downloader recém-desenvolvido para entregar shellcode e a carga ROKRAT", disse a empresa de segurança sul-coreana.
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #hackers #vinculados #à #rpdc #usam #github #como #c2 #em #ataques #em #vários #estágios #direcionados #à #coreia #do #sul
🔔 Siga-nos para não perder nenhuma atualização!
Postar um comentário