與朝鮮有關的InkySquid APT組織正積極利用IE漏洞
作者:三分淺土
網絡安全公司Volexity的專家報告,與朝鮮有關的InkySquid組織(又名ScarCruft、APT37、Group123和Reaper)在針對韓國一家在線報紙的攻擊中,利用兩個IE瀏覽器的漏洞進行水坑攻擊。
Volexity的新分析報告稱,從4月開始,專注于朝鮮新聞的朝鮮日報網站上出現了惡意代碼。
研究人員發現該惡意代碼可以通過www.dailynk[.com]加載到jquery[.]服務的惡意子域。下面加載惡意代碼的URL如下:
- hxxps://www.dailynk[.]com/wp-includes/js/jquery/jquery.min.js?ver=3.5.1
- hxxps://www.dailynk[.]com/wp-includes/js/jquery/jquery-migrate.min.js?ver=3.3.2
盡管這些鏈接都可以通往真實的文件,但是內容都被攻擊者修改了。其中包含重定向用戶,從攻擊者控制的域名jquery[.]services加載惡意JS。并且,由于攻擊者控制的代碼只加入了很短的時間就被移除了,因此很難被發現。
此次攻擊中,攻擊者利用了兩個Internet Explorer的漏洞,漏洞被命名為CVE-2020-1380和CVE-2021-26411,這兩個漏洞分別在2020年8月和2021年3月被修補。
- CVE-2020-1380是一個腳本引擎內存破壞漏洞,CVSS評分為7.5。
- CVE-2021-26411是一個Internet Explorer內存破壞漏洞,CVSS評分為8.8。
這兩個漏洞都被在野積極利用。其中CVE-2021-26411已經被一朝鮮APT組織在1月份針對從事漏洞研究的安全研究人員的攻擊中利用。
定向攻擊,難以被發現
Volexity表示,雖然該組織此次所利用的是已被修補的兩個漏洞,只對少部分用戶起作用。但是,InkySquid 組織針對可以被利用的用戶展開了“定制”攻擊,大大增強了成功率。
- 首先,該組織巧妙地將惡意代碼偽裝于合法代碼之中,使其更難識別。
- 其次,他們只允許能夠被攻擊的用戶訪問惡意代碼,使其難以被大規模識別(如通過自動掃描網站)。
- 此外,該組織使用了新的自定義惡意軟件,如BLUELIGHT。在成功利用C2通信后,不容易被大部分解決方案發現。
BLUELIGHT惡意軟件家族
BLUELIGHT被用作于初始Cobalt Strike有效載荷成功交付后的第二級有效載荷,被用來收集受感染系統的情報,并向攻擊者提供遠程訪問。它支持以下命令:
- 執行下載的shellcode
- 下載并啟動一個可執行程序,然后上傳程序輸出
- 收集支持的瀏覽器的cookies和密碼數據庫,包括Win7 IE、Win10 IE、Edge、Chrome和Naver Whale
- 遞歸搜索路徑并上傳文件元數據(時間戳、大小和完整路徑)
- 生成一個線程來遞歸搜索一個路徑,并將文件作為ZIP檔案上傳
- 終止文件上傳線程
- 卸載植入物
責任編輯:趙寧寧
來源:
FreeBuf
