A equipe da FortiGuard Labs descobriu uma campanha de espionagem cibern\u00e9tica com foco em empresas na Coreia do Sul, onde criminosos norte-coreanos abusam da API do GitHub como infraestrutura de comando e controle (C2). A investiga\u00e7\u00e3o aponta que esses ataques t\u00eam como alvo espec\u00edfico empresas sul-coreanas.<\/p>\n
Os ataques iniciam com arquivos LNK que desencadeiam uma infec\u00e7\u00e3o em tr\u00eas etapas, permitindo que os criminosos mantenham acesso persistente aos sistemas comprometidos sem usar servidores pr\u00f3prios.<\/p>\n
Arquivo LNK disfar\u00e7ado de documento<\/h2>\n
O vetor inicial consiste em um arquivo .LNK, possivelmente disseminado por meio de phishing. Esses arquivos s\u00e3o atalhos do Windows que, quando manipulados, conseguem executar comandos no sistema de forma discreta.<\/p>\n O arquivo aparenta ser um documento corporativo leg\u00edtimo, com t\u00edtulos pertinentes \u00e0s \u00e1reas de interesse das empresas em quest\u00e3o. Ao ser clicado, o atalho ativa uma fun\u00e7\u00e3o de decodifica\u00e7\u00e3o embutida.<\/p>\n Essa fun\u00e7\u00e3o extrai dois componentes: um PDF falso que \u00e9 exibido ao usu\u00e1rio, e um script PowerShell que \u00e9 executado em segundo plano sem gerar qualquer janela vis\u00edvel.<\/p>\n Vers\u00f5es anteriores desses arquivos continham metadados identific\u00e1veis, associando-os a grupos como Kimsuky, APT37 e Lazarus. Nas vers\u00f5es mais novas, esses metadados foram eliminados, demonstrando um aprimoramento nas t\u00e1ticas de evas\u00e3o dos atacantes.<\/p>\n No segundo est\u00e1gio, o script PowerShell procura identificar se est\u00e1 sendo monitorado, examinando processos ativos que possam pertencer a analistas de seguran\u00e7a.<\/p>\n A lista de ferramentas que ele busca inclui ambientes de m\u00e1quinas virtuais e analisadores de tr\u00e1fego. Se qualquer um desses processos for encontrado, o script \u00e9 encerrado imediatamente.<\/p>\n Uma vez que o ambiente \u00e9 reconhecido como o de uma v\u00edtima real, o script instala um mecanismo de persist\u00eancia, criando um arquivo VBScript que executa o payload em modo oculto. Al\u00e9m disso, o script agenda uma tarefa disfar\u00e7ada para rodar a cada 30 minutos, mesmo ap\u00f3s reinicializa\u00e7\u00f5es.<\/p>\n O script tamb\u00e9m coleta informa\u00e7\u00f5es do sistema comprometido, salvando dados como a vers\u00e3o do sistema operacional e a lista de processos ativos, que s\u00e3o ent\u00e3o exfiltrados para um reposit\u00f3rio privado no GitHub, utilizando um token de acesso embutido no c\u00f3digo.<\/p>\n O reposit\u00f3rio em quest\u00e3o pertence \u00e0 conta motoralis, junto com outras contas associadas \u00e0 mesma estrutura. A an\u00e1lise sugere uma gest\u00e3o estrat\u00e9gica dessas contas, com algumas permanecendo inativas por longos per\u00edodos, enquanto outras s\u00e3o ativadas para garantir redund\u00e2ncia operacional.<\/p>\n No est\u00e1gio final, o script atua como um agente que verifica a continuidade da conex\u00e3o a cada 30 minutos, buscando novos m\u00f3dulos no reposit\u00f3rio GitHub do criminoso.<\/p>\n Um script adicional coleta a configura\u00e7\u00e3o de rede da m\u00e1quina comprometida e faz o upload para o GitHub, gerando logs em tempo real com dados sobre a v\u00edtima. Isso permite que o atacante monitore o estado do sistema e envie novos comandos sem criar uma conex\u00e3o direta, dificultando a detec\u00e7\u00e3o da atividade.<\/p>\n A explora\u00e7\u00e3o do GitHub como um canal de comando e controle representa um aspecto cr\u00edtico da campanha. Todo o tr\u00e1fego malicioso transita atrav\u00e9s de HTTPS em dom\u00ednios leg\u00edtimos, tornando sua atividade indistingu\u00edvel do uso comum da plataforma.<\/p>\n O GitHub frequentemente passa pela autoriza\u00e7\u00e3o de firewalls corporativos e \u00e9 bem visto em sistemas de filtragem de URLs, resultando em comunica\u00e7\u00e3o C2 que escapa \u00e0 maioria das solu\u00e7\u00f5es de seguran\u00e7a tradicionais.<\/p>\n Al\u00e9m disso, operando exclusivamente em reposit\u00f3rios privados, os atacantes mant\u00eam payloads e logs exfiltrados completamente ocultos.<\/p>\n A FortiGuard Labs n\u00e3o fez atribui\u00e7\u00f5es formais, mas existem evid\u00eancias que se alinham com grupos de origem norte-coreana. O padr\u00e3o de nomenclatura, por exemplo, \u00e9 uma assinatura reconhec\u00edvel de Kimsuky, APT37 e Lazarus.<\/p>\n A escolha de alvos espec\u00edficos na Coreia do Sul e o uso do XenoRAT, malware associado a campanhas da Coreia do Norte, refor\u00e7am essa an\u00e1lise. A tend\u00eancia sugere um aumento nas atividades de espionagem patrocinadas por estados.<\/p>\n Fique atento \u00e0 TecMania para mais informa\u00e7\u00f5es sobre o caso. Inscreva-se em nossa newsletter e canal do YouTube para novedades em seguran\u00e7a e tecnologia.<\/p>\n Pesquisadores da FortiGuard Labs revelaram uma s\u00e9rie de ataques utilizando arquivos LNK que exploram a API do GitHub para roubar […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"site-sidebar-layout":"default","site-content-layout":"","ast-site-content-layout":"default","site-content-style":"default","site-sidebar-style":"default","ast-global-header-display":"","ast-banner-title-visibility":"","ast-main-header-display":"","ast-hfb-above-header-display":"","ast-hfb-below-header-display":"","ast-hfb-mobile-header-display":"","site-post-title":"","ast-breadcrumbs-content":"","ast-featured-img":"","footer-sml-layout":"","ast-disable-related-posts":"","theme-transparent-header-meta":"","adv-header-id-meta":"","stick-header-meta":"","header-above-stick-meta":"","header-main-stick-meta":"","header-below-stick-meta":"","astra-migrate-meta-layouts":"default","ast-page-background-enabled":"default","ast-page-background-meta":{"desktop":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"ast-content-background-meta":{"desktop":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"footnotes":""},"categories":[12],"tags":[],"class_list":["post-369","post","type-post","status-publish","format-standard","hentry","category-seguranca"],"_links":{"self":[{"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/posts\/369","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/comments?post=369"}],"version-history":[{"count":0,"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/posts\/369\/revisions"}],"wp:attachment":[{"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/media?parent=369"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/categories?post=369"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/tags?post=369"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}PowerShell verifica o ambiente antes de agir<\/h2>\n
Terceiro est\u00e1gio mant\u00e9m conex\u00e3o cont\u00ednua com o atacante<\/h2>\n
Por que o GitHub \u00e9 um C2 dif\u00edcil de bloquear<\/h2>\n
Indicadores apontam para grupos norte-coreanos<\/h2>\n