В последние месяцы эксперты по кибербезопасности зафиксировали новую волну атак, связанных с северокорейской хакерской группировкой Kimsuky. В этот раз злоумышленники использовали GitHub в качестве инфраструктуры для распространения вредоносного программного обеспечения. Анализ показал, что атака была тщательно спланирована и направлена на целевые организации в Южной Корее.
Описание
Использование GitHub для скрытого распространения вредоносов
Злоумышленники разместили вредоносные скрипты в приватных репозиториях GitHub, используя персональные токены доступа (PAT) для скрытого управления зараженными системами. Вредоносное ПО, написанное на PowerShell, загружало дополнительные модули из репозиториев, а также передавало собранные данные обратно на серверы злоумышленников.
Одним из ключевых элементов атаки стало использование XenoRAT - трояна с открытым исходным кодом, который был модифицирован для скрытого доступа к системам жертв. Этот троян позволял злоумышленникам не только красть конфиденциальные данные, но и выполнять произвольные команды на зараженных компьютерах.
Анализ методов атаки
Специалисты обнаружили, что атака началась с фишинговых писем, в которых злоумышленники выдавали себя за представителей южнокорейских юридических фирм. Вложения в этих письмах содержали архивы с паролем, внутри которых скрывались вредоносные файлы. После запуска файла на компьютере жертвы активировался PowerShell-скрипт, который подключался к приватным репозиториям GitHub и загружал дополнительные модули.
Интересно, что злоумышленники использовали несколько GitHub-аккаунтов, созданных в марте 2025 года. Эти аккаунты не содержали публичных репозиториев, что затрудняло их обнаружение. В приватных репозиториях хранились как вредоносные скрипты, так и файлы-приманки, созданные для конкретных жертв.
Связь с группировкой Kimsuky
Анализ IP-адресов, используемых в атаке, позволил установить связь с предыдущими операциями Kimsuky. В частности, один из тестовых IP-адресов (80.71.157.55) ранее фигурировал в кампании MoonPeak, также связанной с этой группировкой. Кроме того, серверы командования и управления (C&C) использовались для фишинговых атак на сервисы Naver, что является характерным признаком активности Kimsuky.
Рекомендации по защите
Эксперты рекомендуют организациям усилить меры защиты от подобных атак. В частности, следует:
- Ограничивать использование PowerShell в корпоративных сетях или настраивать его в безопасном режиме.
- Мониторить подозрительную активность, связанную с GitHub и другими облачными сервисами.
- Обучать сотрудников распознаванию фишинговых писем, особенно тех, что содержат архивы с паролями.
- Использовать системы анализа поведения для выявления аномальных действий в сети.
Данная атака демонстрирует, как злоумышленники адаптируются, используя легитимные сервисы в своих целях. GitHub, Dropbox и другие облачные платформы становятся инструментами киберпреступников, что усложняет их обнаружение традиционными средствами защиты.
Владельцам GitHub-аккаунтов также стоит проверять активность своих токенов доступа и отзывать подозрительные сессии. Регулярный аудит доступа к репозиториям поможет предотвратить их использование в злонамеренных целях.
Ожидается, что подобные атаки будут продолжаться, поскольку они доказали свою эффективность. Компаниям и государственным учреждениям необходимо быть готовыми к новым методам атак, сочетающим социальную инженерию и технические уязвимости.
Индикаторы компрометации
IPv4
- 101.36.114.190
- 118.194.249.201
- 139.99.36.158
- 141.164.41.17
- 158.247.202.109
- 158.247.230.196
- 158.247.253.215
- 165.154.78.9
- 216.244.74.115
- 45.61.161.103
- 80.71.157.55
URLs
- https://dl.dropboxusercontent.com/scl/fi/3z2lxx1aor5g82e86c6ru/panel.rtf?rlkey=zaafvohxvwgvnfv383oe1vmt5&st=umtc7teu&dl=0
- https://dl.dropboxusercontent.com/scl/fi/67j5162v19rtngxkexau5/bie70er.rtf?rlkey=2kdy91rrcugaueif7aucd8b0d&st=mflxxjq7&dl=0
- https://dl.dropboxusercontent.com/scl/fi/bifls0sn1nx1b52adydyn/tt7024.rtf?rlkey=le9xhv7v9clh9sof5787wl3da&st=rz6k0vgl&dl=0
- https://dl.dropboxusercontent.com/scl/fi/bqicute746gcts2utf903/pong_race.rtf?rlkey=53r0g9f69khan7zkgzkc9ox90&st=nry1hb3s&dl=0
- https://dl.dropboxusercontent.com/scl/fi/c6ba7iwuke57d75j3mmte/eula.rtf?rlkey=t0jnirhxk48xd8p74rqgv9dw&st=oofgjsq8&dl=0
- https://dl.dropboxusercontent.com/scl/fi/hpv3jd8o9annkala8vskb/hhopp.rtf?rlkey=nmwknu8l1ormxcmvo77ehhwr8&st=y99kquph&dl=0
- https://dl.dropboxusercontent.com/scl/fi/nanwt6elsuxziz05hnlt4/cjfansgmlans1-x.txt?rlkey=l6gzro1rswkqbk6tinxnkuylv&st=iv78c1cg&dl=0
- https://dl.dropboxusercontent.com/scl/fi/okglg167i8kuwna1m2lxm/bie70er.rtf?rlkey=473ofwk5bcqsehgyw4dxs2ibv&st=ecned2g2&dl=0
- https://dl.dropboxusercontent.com/scl/fi/ti6rphsns0xsvx1ekb02f/bie70er.rtf?rlkey=ug5wa6p2tzyq9rukv51dx4ity&st=hpuv2uwd&dl=0
Emails
MD5
- 10ce9409d8d1e72ea6439bec7cd7e4cd
- 157d1b1798f0f370a95125253e039c18
- 1808bd4919c5943096a4a19784d6b8de
- 1dee4c60fffcc80eb4bbd523eedab2f4
- 30d5f17d5e3f85be18220a7cab0b9fff
- 45ed6abfc12be606bdbcfe76bd17b2af
- 5076c579e378f976a57e862e5b6a7859
- 522a122f3cd4c488a51d81c846bfabbb
- 57015267d06b0d80721015ccd29a04cd
- 5be0527f5c84208371761cee852f0d7c
- 5e9a80d3d4f71ecd8bf8e579a5e2449c
- 6cbc007799b56682ac196e44d79e496d
- 74b1d5f857a4245aef8189ac4f409a99
- 7df07ecb0b516df085a5ee95ed8e6560
- 8c561a53085651d7f47b24129c2cd2d0
- 8c84d7f559cf0947fbf1981a0acb8a35
- a56edfef94008c77abfb4e151df934d9
- a87659641e00d724de5662b14fe142e8
- a9d80e7fe3f217ea4d33f8a4a0f3f73c
- acd2d728ee4d1110521524c1eac6204e
- af999c3c615b56691d75e8c877e185fb
- b13ffe7b8e351291250f1a3a855134aa
- b36159563452d9a837a5e566ad2a1e44
- b77e4e9f5897f00dcbd08b2ee9bde7e8
- b99c1d9bf70be5172a8b36b098c67ee5
- c2f88038d431bb190454fae02225e639
- d0a8cd7584547bdb2959f0d1008e6871
- f51a2ccb4b9b2bf163c81b525bfac08e
- f692c1dd797f68c34744a377482c4ed4
Mutex
- Dansweit_Hk65
- Cheetah_0716