Новая кампания с участием Северокорейских хакеров использует GitHub для управления LNK-фишингом

Исследователи безопасности выявили новую целевую кампанию, связанной с государственными хакерами из Северной Кореи, в ходе которой злоумышленники применяют файлы ярлыков Windows (LNK) для проведения фишинговых атак на организации в Южной Корее. Особенность этой кампании заключается в том, что для управления вредоносной активностью злоумышленники используют платформу GitHub, которая традиционно считается надежным и безопасным ресурсом.

Механизм атаки и особенности кампании

Вредоносные LNK-файлы, рассылаемые в рамках кампании, при активации запускают цепочку команд, которые связываются с серверами управления и контроля (C2), расположенными на GitHub. Использование GitHub в качестве инфраструктуры C2 позволяет злоумышленникам скрывать свои действия в рамках легитимного интернет-трафика, что значительно усложняет обнаружение и блокировку атак.

GitHub, будучи одной из крупнейших платформ для размещения и совместной работы с кодом, пользуется доверием у организаций и систем безопасности, поэтому трафик к ней редко вызывает подозрения. Это дает хакерам значительное преимущество в обходе традиционных средств защиты.

Почему это важно для организаций, управляющих внешней поверхностью атаки

Данная кампания демонстрирует растущую тенденцию злоумышленников использовать легитимные сервисы и инфраструктуру для маскировки вредоносной активности. Для организаций, особенно тех, кто работает с внешними партнерами и имеет сложную IT-инфраструктуру, это означает, что традиционные методы мониторинга и фильтрации трафика могут быть недостаточными.

Использование LNK-файлов также подчеркивает необходимость более тщательного контроля за типами файлов, которые могут запускаться в корпоративной среде, а также за поведением конечных пользователей при работе с вложениями в письмах и другими внешними источниками данных.

Практические рекомендации для команд безопасности

• Повышение осведомленности пользователей: Регулярно обучайте сотрудников распознавать подозрительные вложения, особенно файлы с расширением LNK, и не запускать их без проверки.
• Мониторинг и анализ трафика к популярным сервисам: Внедрите инструменты, способные выявлять аномалии в трафике к таким платформам, как GitHub, даже если они считаются доверенными.
• Ограничение запуска исполняемых файлов из непроверенных источников: Настройте политики безопасности, блокирующие или ограничивающие запуск LNK и других потенциально опасных файлов.
• Использование платформ внешнего управления поверхностью атаки (EASM): Инструменты EASM помогут обнаруживать и анализировать внешние угрозы, связанные с использованием легитимных сервисов злоумышленниками.
• Регулярное обновление и патчинг систем безопасности: Обеспечьте своевременное обновление антивирусных и EDR-решений, чтобы повысить эффективность обнаружения новых методов атак.

В условиях постоянного усложнения методов кибератак организациям необходимо адаптировать свои стратегии защиты, учитывая использование злоумышленниками доверенных сервисов для маскировки вредоносной активности. Только комплексный подход к управлению внешней поверхностью атаки позволит своевременно выявлять и нейтрализовать подобные угрозы.