与朝鲜有关的InkySquid APT组织正积极利用IE漏洞

安全
网络安全公司Volexity的专家报告,与朝鲜有关的InkySquid组织(又名ScarCruft、APT37、Group123和Reaper)在针对韩国一家在线报纸的攻击中,利用两个IE浏览器的漏洞进行水坑攻击。

[[420732]]

Volexity的新分析报告称,从4月开始,专注于朝鲜新闻的朝鲜日报网站上出现了恶意代码。

研究人员发现该恶意代码可以通过www.dailynk[.com]加载到jquery[.]服务的恶意子域。下面加载恶意代码的URL如下:

  • hxxps://www.dailynk[.]com/wp-includes/js/jquery/jquery.min.js?ver=3.5.1
  • hxxps://www.dailynk[.]com/wp-includes/js/jquery/jquery-migrate.min.js?ver=3.3.2

尽管这些链接都可以通往真实的文件,但是内容都被攻击者修改了。其中包含重定向用户,从攻击者控制的域名jquery[.]services加载恶意JS。并且,由于攻击者控制的代码只加入了很短的时间就被移除了,因此很难被发现。

此次攻击中,攻击者利用了两个Internet Explorer的漏洞,漏洞被命名为CVE-2020-1380和CVE-2021-26411,这两个漏洞分别在2020年8月和2021年3月被修补。

  • CVE-2020-1380是一个脚本引擎内存破坏漏洞,CVSS评分为7.5。
  • CVE-2021-26411是一个Internet Explorer内存破坏漏洞,CVSS评分为8.8。

这两个漏洞都被在野积极利用。其中CVE-2021-26411已经被一朝鲜APT组织在1月份针对从事漏洞研究的安全研究人员的攻击中利用。

定向攻击,难以被发现

Volexity表示,虽然该组织此次所利用的是已被修补的两个漏洞,只对少部分用户起作用。但是,InkySquid 组织针对可以被利用的用户展开了“定制”攻击,大大增强了成功率。

  • 首先,该组织巧妙地将恶意代码伪装于合法代码之中,使其更难识别。
  • 其次,他们只允许能够被攻击的用户访问恶意代码,使其难以被大规模识别(如通过自动扫描网站)。
  • 此外,该组织使用了新的自定义恶意软件,如BLUELIGHT。在成功利用C2通信后,不容易被大部分解决方案发现。

BLUELIGHT恶意软件家族

BLUELIGHT被用作于初始Cobalt Strike有效载荷成功交付后的第二级有效载荷,被用来收集受感染系统的情报,并向攻击者提供远程访问。它支持以下命令:

  • 执行下载的shellcode
  • 下载并启动一个可执行程序,然后上传程序输出
  • 收集支持的浏览器的cookies和密码数据库,包括Win7 IE、Win10 IE、Edge、Chrome和Naver Whale
  • 递归搜索路径并上传文件元数据(时间戳、大小和完整路径)
  • 生成一个线程来递归搜索一个路径,并将文件作为ZIP档案上传
  • 终止文件上传线程
  • 卸载植入物

 

责任编辑:赵宁宁 来源: FreeBuf
相关推荐

2014-12-03 11:32:06

2023-11-17 11:29:28

2022-07-22 12:02:20

勒索软件H0lyGh0st

2022-04-12 18:14:53

恶意软件漏洞网络攻击

2023-12-26 12:09:32

2021-04-21 13:44:50

恶意代码网络钓鱼攻击

2022-04-26 12:17:41

恶意软件网络攻击网络钓鱼

2022-05-12 16:37:12

勒索软件恶意软件网络攻击

2021-09-26 05:50:06

Zoho漏洞CISAAPT组织

2022-02-09 10:24:22

APT组织网络攻击黑客

2022-01-14 09:50:34

APT35组织Log4j漏洞

2023-10-19 11:41:14

2022-05-06 14:40:32

漏洞补丁Android

2022-01-25 10:22:26

漏洞网络攻击

2023-09-10 00:14:30

2014-02-25 09:29:41

2021-07-14 17:17:45

0day漏洞恶意代码

2015-06-25 17:23:33

2021-03-08 10:13:34

恶意软件卡巴斯基Lazarus
点赞
收藏

51CTO技术栈公众号