北朝鮮の関連アクターによって展開された新しいフィッシングキャンペーンで、悪意のあるWindowsショートカット(LNK)ファイルを使用して韓国ユーザーを標的とし、GitHubをコマンド&コントロール(C2)インフラストラクチャとして不正に利用しています。
新しいフィッシングキャンペーンの概要
このキャンペーンは、以前のXenoRAT配布キャンペーンから進化しており、より巧妙な隠蔽技術を用いています。最初の段階では、被害者は偽装されたドキュメントとして現れるLNKファイルを受け取ります。
C2インフラストラクチャの利用
このキャンペーンは、GitHubを使用してC2通信を行うことで特徴づけられます。最初期のバージョンでは、単純な文字列連結を用いてGitHub C2 URLとアクセストークンを隠蔽していましたが、その後、より高度なデコードルーチンが追加され、PDFやPowerShellスクリプトが直接LNKファイル内に埋め込まれるようになりました。
攻撃の詳細
このキャンペーンでは、被害者が通常のドキュメントを開いていると思わせる偽装PDFを表示し、同時にバックグラウンドで悪意のあるPowerShellスクリプトが実行されます。さらに、環境チェックとパーシステンス設定を通じて攻撃者はシステム情報を収集し、GitHub APIエンドポイントにアップロードします。
検出と対策
組織は、不審なPowerShellやスクリプトの活動、プロセススキャン、%Temp%-リジデンススクリプト、およびwscript.exeを起動するスケジュールされたタスクなどに注意を払うべきです。GitHub APIとrawコンテンツへのアクセスを厳密に監視し、エグレスポリシーを最小限の権限で設定し、従業員に対してLNKベースのフィッシング罠について教育することが重要です。