كشفت مختبرات Fortinet FortiGuard أن جهات تهديد مرتبطة بكوريا الشمالية استخدمت منصة GitHub كبنية تحتية للتحكم والسيطرة (C2) في هجمات متعددة المراحل استهدفت مؤسسات في كوريا الجنوبية.
بدأت السلسلة بملفات اختصار Windows LNK مموهة، يتم توزيعها عبر رسائل تصيد احتيالي، حيث تُسقط مستند PDF خداعي إلى جانب سكربت PowerShell يعمل في الخلفية. هذا السكربت يتحقق من وجود أدوات تحليل مثل بيئات افتراضية أو مصححات أخطاء، ويتوقف فورًا إذا اكتشفها، مما يعزز قدرته على التهرب من الفحص الأمني.
استغلال GitHub كقناة C2
في حال استمرار التنفيذ، يستخرج السكربت ملف VBScript ويُنشئ مهمة مجدولة لتشغيل الحمولة كل 30 دقيقة في نافذة مخفية، لضمان الاستمرارية بعد إعادة التشغيل.
يقوم السكربت بجمع معلومات عن الجهاز المصاب وتخزينها في ملف سجل، ثم يرفعها إلى مستودع GitHub تحت حسابات مثل motoralis وGod0808RAMA وPigresy80. بعد ذلك، يقرأ السكربت ملفات محددة من المستودع نفسه للحصول على تعليمات إضافية أو وحدات جديدة، مما يسمح للمهاجمين باستغلال الثقة في GitHub كمنصة شرعية لإخفاء نشاطهم.
ارتباط الحملة بمجموعات كورية شمالية
أشارت Fortinet إلى أن نسخًا سابقة من هذه الحملة استخدمت ملفات LNK لنشر برمجيات مثل Xeno RAT ونسخته MoonPeak، وهي هجمات سبق أن وثقتها شركات مثل ENKI وTrellix ونُسبت إلى مجموعة Kimsuky الكورية الشمالية.
الباحثة الأمنية Cara Lin أوضحت أن المهاجمين يعتمدون على أدوات ويندوز الأصلية (LolBins) بدلًا من برمجيات تنفيذية معقدة، مما يقلل من احتمالية الكشف ويتيح استهداف جمهور واسع.
تطور الأساليب واستخدام منصات بديلة
أفادت شركة AhnLab أن مجموعة Kimsuky استخدمت سلاسل عدوى مشابهة تعتمد على ملفات LNK، تنتهي بزرع باب خلفي مكتوب بلغة Python. هذه السلسلة تضمنت إنشاء مجلد مخفي في المسار “C:\windirr”، وتنزيل ملفات مضغوطة من خوادم خارجية، ثم استخراج مهام مجدولة وزرع الباب الخلفي.
كما رصدت شركة S2W تحول مجموعة ScarCruft من أسلوب LNK التقليدي إلى استخدام مستندات HWP OLE لنشر برمجية RokRAT، حيث يتم تضمين الحمولة ككائن OLE وتشغيلها عبر تقنية DLL side-loading.
