文章总结: 朝鲜背景APT组织近期针对韩国金融机构发起攻击,使用恶意LNK文件伪装PDF诱饵,通过PowerShell脚本利用GitHub私有仓库作为C2通道,实现无文件攻击、持久化监控和数据窃取。攻击链包含社会工程诱骗、反沙箱检测、计划任务持久化及GitHubAPI数据回传。防护建议包括启用PowerShell约束模式、监控LNK行为、管控GitHub访问及加强人员安全意识培训。 综合评分: 87 文章分类: 漏洞分析,威胁情报,恶意软件,渗透测试,安全运营
朝鲜背景 APT 组织利用 LNK 与 GitHub C2 攻击活动技术分析报告
原创
ZM ZM
暗镜
2026年4月8日 06:00 北京
#
一、概述
FortiGuard近期发现一起针对韩国境内机构的朝鲜背景APT攻击活动,攻击者以恶意 LNK 快捷方式为入口,依托Windows原生脚本(PowerShell/VBScript)与GitHub作为C2基础设施,构建无文件、低检出、强持久化的攻击链,用于情报窃取与长期监控。该活动可追溯至 2024 年,早期用于投放 XenoRAT,近期持续迭代混淆与免杀能力,核心特征为LNK内嵌解码函数、GitHub私有仓库承载载荷与回传数据、计划任务持久化、反沙箱/反调试,利用合法平台信誉绕过企业边界防护。
二、攻击概况
攻击目标
韩国金融、企业等机构,诱饵文档多为证券、基金、战略合作相关 PDF
攻击载体
恶意 LNK 快捷方式文件
核心手段
社会工程诱骗→LNK 释放载荷→PowerShell 多阶段执行→GitHub C2 通信→数据回传→持久化驻留
关联组织
疑似 Kimsuky、APT37、Lazarus 等朝鲜背景 APT 团伙(文件元数据惯用 Hangul Document 命名)
受影响平台
Microsoft Windows 全系列
主要危害
系统信息窃取、权限维持、后续定向攻击与情报收集
三、攻击全流程拆解
1.第一阶段:恶意 LNK 文件(初始入口)
攻击者构造伪装成 PDF 文档的LNK 文件,双击后前台显示诱饵 PDF、后台静默执行恶意指令,实现视觉欺骗+无感知执行。
1.1演化路径
早期版本:简单字符串拼接隐藏 GitHub C2 地址与 Token,易被静态分析识别
中期版本:增加字符解码逻辑,保留固定元数据(文件名、大小、修改时间、Hangul Document 标识)
最新版本:删除特征元数据,参数内嵌自定义解码函数p1,支持偏移读取、长度控制、XOR 解密,直接从 LNK 本体提取诱饵 PDF 与下一阶段 PowerShell 脚本
1.2
关键执行逻辑
powershell
function p1{ param($nW, $jB, $EG, $zN0) … }
读取LNK指定偏移数据→XOR解密→释放PDF与ps1→后台执行
p1 8192 1965784 157 $jp; p1 1973976 7300 100 $JV;
powershell -noprofile -windowstyle hidden -executionpolicy bypass $JV;
图标指向%SystemRoot%\System32\SHELL32.dll,伪装为普通文档
执行窗口隐藏、无交互、绕过执行策略
2.第二阶段:PowerShell 脚本(环境检测 + 持久化 + 数据窃取)
从 LNK 解码得到的主体脚本,完成免杀校验、载荷释放、权限维持、信息窃取、数据回传。
2.1反分析 / 反沙箱
枚举虚拟机、调试器、逆向工具、流量分析工具进程,检测到则立即退出:
虚拟机:vmxnet、vmusrvc、vboxservice 等
调试逆向:ida、x64dbg、OllyDbg、ProcessHacker 等
流量监控:Wireshark、Fiddler、Procmon、TCPView 等
2.2载荷释放与持久化
解码并落地 VBS 脚本,用于隐藏启动 PowerShell 载荷
创建隐藏计划任务,每 30 分钟执行 VBS 脚本,确保重启后依然生效
任务名称伪装为技术文档相关,降低运维警觉
2.3信息窃取与回传
采集:OS 版本 / 构建号、最后启动时间、进程全列表、IP 地址
按<时间戳>–BEGIN.log格式命名,Base64编码后通过GitHub API PUT上传至私有仓库,使用硬编码 Token 鉴权。
3. 第三阶段:PowerShell 脚本(C2 维持与模块拉取)
专注长期控制与指令接收,依托计划任务周期性与 GitHub C2 交互:
从指定 GitHub 路径拉取后续模块与指令
执行 ** 保活(keep-alive)** 逻辑,定期上传网络配置信息
日志路径:https://api.github.com/repos/motoralis/singled/contents/jjyun/network/<时间>_-Real.log
实现无间断监控、按需下发指令、动态加载插件
四、核心技术特点
LOLBins 无文件攻击
全程依赖 PowerShell、VBScript、计划任务等 Windows 原生组件,极少落地 PE 文件,传统 AV/EDR 检出率极低。
GitHub C2 隐蔽通道
依托 GitHub 高信誉与企业白名单,恶意流量伪装成正常开发行为
私有仓库存储载荷与回传数据,公开不可见
多账号冗余:motoralis(主账号)、God0808RAMA、Pigresy80、entire73、pandora0009、brandonleeodd93-blip
渐进式混淆免杀
从字符串拼接→字符解码→自定义 XOR 解码 + 元数据擦除,持续提升静态 / 动态分析难度。
强持久化机制
VBS + 隐藏计划任务,30 分钟周期性执行,对抗系统重启与进程清理。
分层社会工程
诱饵文档贴合韩国金融 / 企业场景,降低用户警惕,实现高成功率诱骗。
五、攻击链示意图
plaintext
钓鱼邮件/媒介分发 → 恶意LNK文件 → 前台显示诱饵PDF
→ 后台执行PowerShell → 反沙箱/反调试 → 释放VBS+计划任务持久化
→ 采集系统信息 → 上传GitHub私有仓库 → 拉取C2指令/模块 → 长期监控
六、IOCs(威胁指标)
#
2. 文件SHA256
af0309aa38d067373c54b2a7774a32f68ab72cb2dbf5aed74ac784b079830184
|TRAMS WINBOT AI Strategic Proposal.pdf.lnk
9c3f2bd300ad2ef8584cc48adc47aab61bf85fc653d923e106c73fc6ec3ea1dc
|전략적파트너십상세제안서.pdf.lnk
f20fde3a9381c22034f7ecd4fef2396a85c05bfd54f7db3ad6bcd00c9e09d421
|상세제안서 – 미래에셋 X AYC Fund.pdf.lnk
484a16d779d67c7339125ceac10b9abf1aa47f561f40058789bfe2acda548282
|CONFIDENTIAL IOTRUST OFFER.pdf.lnk
c0866bb72c7a12a0288f434e16ba14eeaa35d3c4cff4a86046c553c15679c0b5
|(CONFIDENTIAL) AIN x Mine Korea 2026.pdf.lnk
七、防护建议
终端防护
启用 PowerShell 约束模式 / 模块日志,监控-ExecutionPolicy Bypass、-WindowStyle Hidden等敏感参数
拦截可疑 LNK 执行 PowerShell 行为,限制 LNK 调用脚本引擎
升级 FortiGuard 病毒库,查杀LNK/Agent.ALN!tr
边界与流量
精细化管控 GitHub API 访问,限制向异常 Repo 上传 / 下载
监控异常外发数据、高频 PUT 请求、匿名 Token 鉴权行为
主机与配置
审计计划任务,重点排查隐藏、30 分钟周期性、执行 VBS/PowerShell 的任务
禁用或限制不必要的脚本宿主(wscript/cscript)
人员意识
警惕不明来源 LNK / 快捷方式,不双击非可信附件
培训识别金融、合作类钓鱼诱饵文档
八、总结
此次攻击体现朝鲜背景 APT轻量化、隐蔽化、平台化的演进趋势:放弃复杂定制木马,转向LOLBins +合法云服务C2,极大降低检出与拦截概率。GitHub 等开发平台正成为 APT 高频使用的隐蔽通道,防御方需从文件特征检测转向行为+信誉+上下文的多维分析,重点监控脚本异常行为、计划任务滥用、云服务异常外发等高风险
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:暗镜 ZM ZM《朝鲜背景 APT 组织利用 LNK 与 GitHub C2 攻击活动技术分析报告》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论