Campanhas com arquivos LNK, PowerShell, VBScript, Dropbox e cargas Python abusam de serviços legítimos para persistência, perfilamento de hosts e controle remoto em múltiplos estágios.
| Componente | Hosts Windows comprometidos por arquivos LNK ofuscados, scripts PowerShell e VBScript, tarefas agendadas, GitHub como C2 e, em cadeia relacionada, Dropbox, lote intermediário e backdoor Python. |
| Vetor | Arquivos LNK provavelmente distribuídos por phishing acionam scripts PowerShell, exibem documentos PDF falsos ao usuário e executam a cadeia maliciosa em segundo plano. |
| Impacto | Perfilamento do host, exfiltração de resultados para repositório GitHub controlado pelo operador, busca de instruções adicionais, persistência por tarefa agendada e execução remota de comandos em backdoor Python. |
| Prioridade | Investigar anexos LNK recentes, execução anômala de PowerShell em janela oculta, tarefas agendadas recorrentes, diretórios ocultos incomuns e tráfego para repositórios GitHub ou Dropbox sem justificativa operacional. |
| Artefatos | Contas GitHub associadas à campanha incluem motoralis, God0808RAMA, Pigresy80, entire73, pandora0009 e brandonleeodd93-blip; domínio remoto citado em cadeia relacionada: quickcon[.]store. |
| Persistência | Uma tarefa agendada executa o payload PowerShell a cada 30 minutos em janela oculta e mantém a execução após reinicialização do sistema. |
A atividade observada envolve operadores provavelmente associados à Coreia do Norte usando serviços legítimos de colaboração e armazenamento como infraestrutura de comando e controle em ataques de múltiplos estágios contra organizações na Coreia do Sul. A cadeia inicial usa arquivos de atalho do Windows do tipo LNK, com ofuscação, para iniciar a execução de scripts sem depender de um binário PE tradicional no primeiro momento. A escolha por LNK, PowerShell e VBScript reduz a quantidade de artefatos executáveis gravados em disco e aumenta a chance de o tráfego e a execução parecerem atividade administrativa ou uso comum do sistema operacional.
O fluxo principal combina engano visual e execução silenciosa. Após a abertura do arquivo LNK, a vítima visualiza um documento PDF isca, enquanto um script PowerShell é executado em segundo plano. Esse script realiza verificações contra ambientes de análise, extrai componentes adicionais, configura persistência e coleta informações do host. Em seguida, os dados de perfilamento são enviados para um repositório GitHub controlado pelo operador por meio de um token de acesso embutido. O mesmo repositório também serve como ponto de consulta para instruções ou módulos adicionais, permitindo que o operador controle a próxima etapa sem expor uma infraestrutura C2 tradicional.
A primeira fase depende de arquivos LNK ofuscados, avaliados como provavelmente distribuídos por e-mail de phishing. Quando o usuário aciona o atalho, a cadeia entrega dois elementos principais: um PDF de distração e um script PowerShell. O PDF mantém a aparência de uma abertura legítima de documento, enquanto o script executa a lógica maliciosa sem interação adicional. Antes de prosseguir, o PowerShell procura processos associados a máquinas virtuais, depuradores e ferramentas forenses. Caso encontre sinais desse tipo, a execução é encerrada, o que limita a exposição da cadeia em sandboxes e ambientes de análise dinâmica.
Se as verificações não indicarem análise, o script extrai um componente VBScript e cria persistência por tarefa agendada. A tarefa chama o payload PowerShell em intervalos de 30 minutos, em janela oculta, e preserva a execução depois de reinicializações do host. Na etapa seguinte, o PowerShell coleta características do sistema comprometido e grava o resultado em arquivo de log. Esse arquivo é então enviado para um repositório GitHub sob controle do operador. O uso de um token codificado no script permite a escrita nesse repositório e transforma o GitHub em um canal de exfiltração e coordenação.
Depois da coleta inicial, o script consulta um arquivo específico no mesmo repositório GitHub para obter novas instruções ou módulos. Essa arquitetura permite atualizar comportamento, alterar comandos e entregar etapas adicionais sem modificar necessariamente o artefato inicial entregue à vítima. Como GitHub costuma ser permitido em muitas redes corporativas, a comunicação pode se misturar a tráfego legítimo de desenvolvimento, documentação ou automação. O risco defensivo não está apenas no domínio de destino, mas no padrão de uso: hosts que não deveriam interagir com repositórios externos passam a gravar dados, buscar instruções e manter ciclos periódicos de consulta.
Uma cadeia relacionada atribuída a Kimsuky também utiliza LNK como ponto de partida e PowerShell como mecanismo de orquestração. Nessa variação, o LNK cria uma pasta oculta no caminho C:\windirr para preparar payloads, incluindo um PDF isca e outro LNK que imita um documento do Hangul Word Processor. A cadeia instala componentes intermediários para persistência e aciona um script PowerShell que usa Dropbox como canal C2 para obter um script em lote. O script em lote recompõe dois fragmentos ZIP obtidos de um servidor remoto, extrai uma tarefa agendada em XML e instala um backdoor Python.
O backdoor Python descrito nessa cadeia aceita instruções do servidor C2 para obter cargas adicionais e executar ações no host comprometido. As capacidades incluem execução de scripts de shell, enumeração de diretórios, transferência e remoção de arquivos, além da execução de arquivos BAT, VBScript e EXE. Em paralelo, outra mudança tática envolve ScarCruft migrando de cadeias tradicionais baseadas em LNK para um dropper baseado em objeto OLE dentro de documento HWP, com entrega de RokRAT por meio de carregamento lateral de DLL. Essa variação indica adaptação de técnicas de entrega, mas mantém o foco em documentos e formatos plausíveis para o ambiente alvo.
A superfície mais exposta é composta por estáções Windows de usuários que recebem anexos ou links para arquivos LNK disfarçados de documentos. Ambientes que permitem execução irrestrita de PowerShell, criação de tarefas agendadas por usuários comuns, acesso direto a GitHub e Dropbox, e ausência de inspeção sobre uso anômalo desses serviços têm maior dificuldade para distinguir a cadeia de uma atividade legítima. A exposição também alcança equipes de desenvolvimento e áreas administrativas, pois o tráfego para GitHub pode ser considerado normal nesses grupos e escapar de bloqueios simples por reputação de domínio.
O uso de serviços legítimos altera a prioridade de defesa. Bloquear todo o GitHub ou Dropbox pode não ser viável em ambientes de engenharia, então a análise precisa considerar identidade do processo, caminho de execução, frequência das conexões, tipo de operação realizada e relação do host com aquele serviço. Um endpoint administrativo sem ferramentas de desenvolvimento que passa a publicar logs em repositório externo, consultar arquivos de instrução ou executar PowerShell recorrente em janela oculta deve ser tratado como sinal forte de comprometimento.
- Estáções Windows que abriram arquivos LNK recebidos por e-mail ou por canais de compartilhamento de arquivos.
- Hosts com execução de PowerShell iniciada por LNK, VBScript ou tarefa agendada sem mudança administrativa planejada.
- Ambientes onde GitHub e Dropbox são permitidos sem controle por processo, usuário, repositório ou padrão de transferência.
- Sistemas com diretórios ocultos incomuns, incluindo uso do caminho
C:\windirrna cadeia relacionada.
A investigação deve começar pela correlação entre abertura de arquivos LNK, criação de processos PowerShell e aparecimento de documentos PDF isca no mesmo intervalo. A cadeia procura ficar invisível ao usuário, mas deixa rastros em criação de processos, tarefas agendadas, arquivos temporários ou ocultos, conexões HTTPS para plataformas legítimas e gravação de logs de perfilamento. Em endpoints Windows, eventos de criação de processo devem destacar PowerShell iniciado por explorer.exe, por um LNK, por VBScript ou por uma tarefa agendada recém-criada.
No tráfego de rede, o foco deve ser comportamento e não apenas domínio. Acesso a GitHub com operações compatíveis com escrita em repositório, consulta periódica de arquivos específicos ou atividade de contas sem relação com o negócio é mais relevante do que uma única conexão ao serviço. Os nomes de contas GitHub citados na campanha podem ser usados como ponto de partida, mas a defesa não deve depender exclusivamente deles, porque contas e repositórios podem ser trocados com baixo custo. Para Dropbox, a análise deve procurar fluxos acionados por scripts e associados a downloads de componentes intermediários, especialmente quando combinados com criação de tarefas agendadas e execução de Python.
- Processos PowerShell executados em modo oculto, iniciados por LNK, VBScript ou tarefa agendada sem justificativa administrativa.
- Criação ou alteração de tarefas agendadas com periodicidade de 30 minutos ou execução persistente após reinicialização.
- Conexões de hosts não desenvolvedores para repositórios GitHub externos, com envio de arquivos de log ou consulta periódica de arquivos de instrução.
- Acesso a Dropbox por processos de script ou por hosts que não usam oficialmente o serviço.
- Presença de PDF isca, LNK adicional, XML de tarefa agendada, fragmentos ZIP recompostos ou backdoor Python no mesmo encadeamento temporal.
A resposta deve priorizar contenção do host e preservação de evidências antes da limpeza. Sistemas com sinais de LNK malicioso, PowerShell recorrente ou comunicação com repositórios suspeitos devem ser isolados da rede, com coleta de artefatos de processo, tarefas agendadas, diretórios ocultos, scripts, logs locais e histórico de conexões. Como a cadeia usa tokens e serviços legítimos, também é necessário verificar se credenciais corporativas, sessões de navegador ou tokens de automação foram expostos no host comprometido, mesmo quando o contexto técnico só confirme perfilamento e controle remoto.
A mitigação preventiva passa por políticas de execução de scripts, bloqueio ou alerta para LNK provenientes da internet, restrição de criação de tarefas agendadas, registro detalhado de PowerShell e inspeção de tráfego para plataformas de colaboração. Em ambientes que dependem de GitHub, a defesa deve manter listas de repositórios e organizações aprovadas, registrar operações de escrita e alertar quando estáções sem função de desenvolvimento publicarem conteúdo externo. Para Dropbox, o uso deve ser limitado a grupos autorizados, com telemetria por processo e usuário. A remoção deve incluir exclusão das tarefas agendadas maliciosas, scripts persistentes, diretórios de estágio e artefatos Python, seguida por varredura de endpoints que receberam o mesmo e-mail, anexo ou documento HWP.
- Isolar hosts com execução PowerShell suspeita e coletar tarefas agendadas, scripts, LNK, PDFs isca e histórico de conexões antes da erradicação.
- Habilitar registro avançado de PowerShell, criação de processo e alterações em tarefas agendadas nos endpoints Windows.
- Restringir ou alertar abertura de arquivos LNK originados de e-mail, internet ou compartilhamentos externos.
- Controlar GitHub e Dropbox por usuário, processo, organização, repositório e finalidade de negócio, não apenas por domínio.
- Revisar anexos e mensagens relacionadas à campanha, procurando entregas para outros usuários do mesmo ambiente.
0 Comentários