El grupo apto respaldado por Corea del Norte Kimsuky ha intensificado sus operaciones cibernéticas armando repositorios de GitHub para la entrega de malware y la exfiltración de datos, marcando una evolución sofisticada en su metodología de ataque.
Esta última campaña demuestra la creciente experiencia del grupo en abusar de la infraestructura de la nube legítima para evadir las medidas de seguridad tradicionales mientras mantiene el acceso persistente a los sistemas comprometidos.
La cadena de ataque comienza con un archivo de cremallera maliciosa que contiene un archivo LNK disfrazado de factura de impuestos electrónicos (전자세금계산서 .pdf.lnk).
Cuando se ejecuta, este atajo armado lanza un comando PowerShell que descarga y ejecuta scripts maliciosos adicionales de repositorios de GitHub controlados por el atacante.
La carga útil inicial establece una base para la recopilación de datos sistemáticos y mantiene la persistencia a largo plazo en los sistemas infectados.
Investigadores S2W identificado Nueve repositorios privados de GitHub asociados con esta campaña, incluidos Group_0717, Group_0721, Test, Hometax y Group_0803.
Los actores de amenaza integraron tokens privados de GitHub codificados directamente dentro de sus guiones Powershell para acceder a estos repositorios, demostrando una cuidadosa planificación de seguridad operativa.
El análisis de los historiales de confirmación reveló la dirección de correo electrónico del atacante (Sahiwalsuzuki4 (@) gmail.com) utilizada durante la creación de cuentas de GitHub.
El mecanismo de persistencia del malware representa un enfoque particularmente sofisticado para mantener el acceso a largo plazo.
Tras la infección inicial, el script Main.ps1 crea un archivo llamado Microsoftedgeupdate.ps1 en el directorio % AppData % y establece una tarea programada con el nombre “BitLocker MDM Policy Refresh {DBHDFE12-496SDF-Q48D-SDEF-1865BCAD7E00}”.
Esta tarea se ejecuta cada 30 minutos después de un retraso inicial de 5 minutos, creando un sistema automatizado para obtener y ejecutar scripts de PowerShell actualizados desde el repositorio de GitHub.
Gestión dinámica de scripts y recopilación de información
El malware emplea un sistema dinámico de gestión de scripts que marque los sistemas infectados y crea carpetas personalizadas para la exfiltración de datos.
La carga útil de PowerShell descarga un archivo llamado Real.txt desde el repositorio, reemplaza las cadenas de marcadores de posición con valores de tiempo de tiempo (NTXBILL_ {MMDD_HHMM}) y vuelve a colocar el script modificado utilizando un formato de nombre de archivo específico de tiempo.
Este mecanismo permite a los atacantes rastrear infecciones individuales y administrar múltiples sistemas comprometidos simultáneamente.
El componente de robo de información recopila metadatos integrales del sistema que incluyen direcciones IP, tiempos de arranque, detalles del sistema operativo, especificaciones de hardware, tipos de dispositivos, fechas de instalación y procesos de ejecución.
Todos los datos recopilados se compilan en archivos de registro y se carga en el repositorio del atacante en carpetas de tiempo de tiempo, creando una base de datos de inteligencia organizada para los actores de amenaza.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
