HackerangriffeMalwareSchwachstellen

Nordkoreanische Hacker nutzen GitHub als Kommandozentrale in Angriffen auf Südkorea

Nordkoreanische Hacker nutzen GitHub als Kommandozentrale in Angriffen auf Südkorea
Zusammenfassung

Nordkoreanische Hacker missbrauchen GitHub als Kontrollzentrum für Angriffe auf Südkorea – eine bemerkenswerte Eskalation von Cyber-Bedrohungen, die auch deutsche Organisationen aufhorchen lassen sollte. Sicherheitsforscher von Fortinet haben entdeckt, dass dem nordkoreanischen Regime zugeordnete Threat Actor mehrstufige Angriffe durchführen, bei denen sie die vermeintlich sichere GitHub-Plattform als Command-and-Control-Infrastruktur missnutzen. Die Attacken starten mit täuschend echten Windows-Shortcut-Dateien, die über Phishing-E-Mails verbreitet werden und schlussendlich zu einem PowerShell-Skript führen, das sich persistent auf betroffenen Systemen einnistet. Besonders bemerkenswert ist die Verwendung von nativen Windows-Tools und GitHub-Accounts zur Verschleierung der böswilligen Aktivitäten – eine Taktik, die Sicherheitssysteme effektiv umgeht. Während die Angriffe aktuell primär südkoreanische Organisationen treffen, zeigen sich deutsche Unternehmen und Behörden zunehmend in den Fokus solcher staatlich unterstützten Cyberangriffe gerückt. Die Erkenntnisse verdeutlichen, wie Angreifer vertrauenswürdige Plattformen als Waffe einsetzen und unterstreichen die Notwendigkeit erhöhter Wachsamkeit bei der Überprüfung verdächtiger Dateitypen und E-Mail-Anhänge.

Die Sicherheitsfirma Fortinet FortiGuard Labs hat eine neue Angriffskampagne dokumentiert, die zeigt, wie nordkoreanische Hacker Plattformen wie GitHub zweckentfremden. Die LNK-Dateien dienen als Einstiegspunkt und laden zunächst ein Täuschungs-PDF sowie ein PowerShell-Skript herunter. Während das Dokument dem Opfer angezeigt wird, agiert das Skript im Verborgenen.

Das PowerShell-Skript führt zunächst Sicherheitschecks durch und sucht nach Indikatoren für virtuelle Maschinen, Debugger und Forensik-Tools. Werden solche Prozesse erkannt, beendet sich das Skript sofort. Andernfalls extrahiert es ein VBScript und etabliert Persistenz durch geplante Aufgaben, die das Payload alle 30 Minuten in verstecktem Modus ausführen.

Besonders bemerkenswert ist die Verwendung von GitHub: Das Skript exfiltriert Systeminformationen in ein Repository unter dem Account „motoralis” und nutzt dabei ein hart codiertes Access-Token. Weitere identifizierte GitHub-Accounts lauten „God0808RAMA”, „Pigresy80”, „entire73”, „pandora0009” und „brandonleeodd93-blip”. Der Angreifer parst daraufhin eine spezifische Datei im selben Repository, um zusätzliche Module oder Anweisungen abzurufen.

Fortinet ordnet die Kampagne der nordkoreanischen Hackergruppe Kimsuky zu, die bereits früher mit dem RAT Xeno und dessen Variante MoonPeak in Verbindung gebracht wurde. Zeitgleich dokumentierte die südkoreanische Sicherheitsfirma AhnLab eine ähnliche LNK-basierte Infektionskette, die diesmal in einem Python-basierten Backdoor mündet. Diese Variante nutzt Dropbox als C2-Kanal und laden ZIP-Fragment-Dateien von „quickcon[.]store” herunter.

Ein weiterer Befund betrifft ScarCruft, eine weitere nordkoreanische Hackergruppe, die verstärkt HWP-OLE-Dropper (Hangul Word Processor) einsetzt, um RokRAT auszuliefern. Das Malware-Objekt ist als OLE-Objekt im Dokument eingebettet und wird durch DLL-Sideloading ausgeführt.

Wie Sicherheitsforscherin Cara Lin erklärte, nutzen diese Angreifer gezielt Windows-Bordmittel statt komplexer Custom-Malware. Durch minimale PE-Dateien und die Nutzung von LolBins erreichen sie niedrige Erkennungsraten bei breiter Zielgruppe. Diese Entwicklung unterstreicht die wachsende Raffinesse nordkoreanischer Cyber-Operationen.

Ähnliche Artikel