S2W’nin Tehdit İstihbarat Merkezi Talon’un son analizine göre, gelişmiş silahlı LNK dosyaları aracılığıyla kötü amaçlı yazılım dağıtımları için Github depoları.
Bu kampanya, güvenlik önlemlerini atlamak ve mağdur sistemlerine kalıcı erişim sağlamak için güvenilir platformlardan yararlanmada grubun gelişen taktiklerini göstermektedir.
Saldırı zinciri, elektronik vergi faturası PDF olarak gizlenmiş silahlandırılmış bir LNK dosyası içeren “nts_attach.zip” adlı kötü amaçlı bir zip arşivi ile başlar.
Yürütüldüğünde, “전자세금계산서 .pdf.lnk” kısayol dosyası, saldırgan kontrollü GitHub depolarından ek kötü amaçlı komut dosyalarını indiren ve yürüten bir PowerShell komutunu tetikler.
Kuzey Kore destekli apt grubu Kimuky, GitHub depolarından yararlanan tanımlanmıştır.
Tehdit aktörleri, GitHub’ın API altyapısının sofistike bir anlayışını sergileyerek özel depolara erişmek için doğrudan komut dosyalarına doğrudan komut dosyası yerleştirilmiş github özel jetonları yerleştirdiler.
Birincil yük olan Main.ps1, “hxxps: // github deposuna bağlanır[.]Com/God0808rama/Group_0721/”Hem tuzak belgelerini hem de ek kötü amaçlı bileşenleri indirmek için.
Komut dosyası, her enfeksiyon için benzersiz tanımlayıcılar oluşturmak için yer tutucu dizelerini zaman damgalı değerlerle değiştirerek dinamik dosya yönetimi teknikleri kullanır. Bu, saldırganların GitHub altyapıları aracılığıyla birden fazla uzlaşılmış sistemi izlemelerini ve yönetmelerine olanak tanır.
Çok aşamalı kalıcılık mekanizması
Kimuky Son Kampanya, karmaşık bir planlanmış görev mekanizması yoluyla kalıcılık oluşturuyor.
Kötü amaçlı yazılım, kurbanın % AppData % dizininde “microsoftedgeupdate.ps1” oluşturur ve “Bitlocker MDM Politika Yenileme {DBHDFE12-496SDF-Q48D-SDEF-1865BCAD7E00}” adlı planlanmış bir görev oluşturur.
Bu kalıcılık mekanizması, meşru sistem bakım etkinliği olarak görünürken komuta ve kontrol altyapısı ile sürekli iletişimi sağlar.
“Apporary.ps1” olarak konuşlandırılan Info-Starer bileşeni, IP adresleri, önyükleme süreleri, işletim sistemi detayları, donanım özellikleri ve çalışma işlemleri gibi kapsamlı sistem bilgilerini toplar.
Toplanan tüm veriler sistematik olarak düzenlenir ve saldırganın GitHub depoları içindeki zaman damgalı klasörlere yüklenir ve organize bir istihbarat toplama sistemi oluşturur.
Sabit kodlu GitHub jetonlarını analiz eden müfettişler, Group_0717, Group_0721, Test, Hometax, Group_0803, Group_0805, Group_0811, FSC_DOC ve geri ödeme dahil olmak üzere kampanya ile ilişkili dokuz özel depo keşfetti.
Bu depolar, ödeme hatırlatıcıları ve denetim raporları gibi meşru iş iletişimi olarak görünecek şekilde tasarlanmış sistem günlükleri, tuzak belgeleri ve dosyalar içeriyordu.
TAMP TARİH ANALİZİ Saldırganın e -posta adresini ortaya çıkardı “Sahiwalsuzuki4[@]Gmail.com ”Github Hesap Oluşturma sırasında kullanılır.
Özellikle, depolardaki test günlükleri, “Xeno_RAT_Server” ve pano izleme süreçleri gibi uzaktan yönetim araçlarının kanıtını gösterdi, bu da kampanyanın daha geniş hedeflerinin ilk keşifin ötesine geçtiğini gösterdi.
Kritik güvenlik sonuçları
Bu kampanya, tehdit aktörlerinin kötü niyetli amaçlar için meşru geliştirme platformlarını nasıl silahlandırabileceğini gösteren APT taktiklerinde önemli bir evrimi temsil ediyor.
GitHub’ın altyapısının kötüye kullanılması, saldırganlara güvenilir barındırma, şifreli iletişim ve kötü niyetli trafiği meşru geliştirme faaliyetleriyle harmanlama yeteneği sağlar.
Kuruluşlar, GitHub alanlarının güvenilir doğası ve API iletişiminin şifreli doğası nedeniyle bu tür faaliyetlerin tespit edilmesinde artan zorluklarla karşı karşıyadır.
Zaman damgalı dosya yönetimi ve dinamik komut dosyası güncellemelerinin kullanılması, saldırganların operasyonlarını birden fazla hedefe göre ölçeklendirirken operasyonel güvenliği korumasını sağlar.
Bu yaklaşım, kötü amaçlı yazılım yüklerinin ve toplama stratejilerinin kurban ortamlarına ve savunma yanıtlarına dayanan gerçek zamanlı uyarlanmasını sağlar.
Önerilen Savunma Stratejileri
Güvenlik ekipleri, GitHub API trafiğinin kapsamlı bir şekilde izlenmesini uygulamalıdır, özellikle veri açığa çıkma faaliyetlerini gösterebilecek “/Repos/*/İçindekiler/” uç noktalarına talepler koymalıdır.
Kuruluşlar, özellikle kötü amaçlı yazılım kalıcılığı mekanizmalarıyla tutarlı şüpheli isimler veya yürütme modelleri olanlar, planlanmış görev oluşturma için temel izleme oluşturmalıdır.
Şüpheli komut dosyası yürütme kalıplarını tespit etmek için Gelişmiş PowerShell Günlüğü ve Komut Dosyası Blok Günlüğü Kurumsal Ortamlar arasında etkinleştirilmelidir.
Ağ güvenlik kontrolleri, uzlaşmayı gösterebilecek olağandışı depo erişim kalıplarını tanımlamak için API.Github.com’daki trafiği incelemeli ve davranışsal analiz uygulamalıdır.
İlk erişim vektörleri, görünüşte meşru belgeler ve eklerle kullanıcı etkileşimine güvenmeye devam ettikçe, LNK dosya risklerine ve sosyal mühendislik taktiklerine odaklanan düzenli güvenlik farkındalığı eğitimi önemlidir.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.