ハッカーは、WindowsのショートカットファイルとGitHubを使用して、韓国の組織に対して巧妙なマルウェア攻撃を行っています。このキャンペーンでは、LNKファイル、PowerShellスクリプト、およびGitHub APIが連携し、監視ツールを配布しています。
攻撃の手口
この攻撃は、通常のショートカットではなく隠されたスクリプトを含む武器化されたLNKファイルから始まります。これらのサンプルには、再発生するファイル名やサイズなどの豊富なメタデータが含まれており、北朝鮮関連グループ(例:Kimsuky、APT37、Lazarus)と関連があるパターンを示しています。
攻撃者は時間とともにツールキットを改良し、単純なデコード機能や直接ペイロードをLNK引数にハードコーディングするようになりました。被害者がこの罠を開くと、韓国ビジネステーマに合致した合法的なPDFが表示されますが、PowerShellスクリプトはバックグラウンドで静かに実行されます。
攻撃のステージ
最初の段階では、攻撃者は仮想化ツールやデバッグツール(VMware、VirtualBox、IDA、dnSpyなど)をスキャンし、それらが存在する場合、スクリプトは即座に終了します。これにより、分析者が後続のステージを見ることができません。
次に、Base64エンコードされた文字列を再構築してVBScriptペイロードを一時フォルダに書き込みます。このVBScriptは、30分ごとにwscript.exeを使用して隠れたウィンドウでPowerShellスクリプトを再起動します。
さらに、攻撃者はGitHub APIを使用して詳細なホストデータ(OSバージョン、ビルド番号、最後のブート時間など)を収集し、ハードコーディングされたアクセストークンを使ってGitHubリポジトリにアップロードします。
攻撃者のGitHubアカウント
これらのアップロードは、