[[420732]]

Volexity的新分析報(bào)告稱，從4月開始，專注于朝鮮新聞的朝鮮日?qǐng)?bào)網(wǎng)站上出現(xiàn)了惡意代碼。

研究人員發(fā)現(xiàn)該惡意代碼可以通過www.dailynk[.com]加載到j(luò)query[.]服務(wù)的惡意子域。下面加載惡意代碼的URL如下：

• hxxps://www.dailynk[.]com/wp-includes/js/jquery/jquery.min.js?ver=3.5.1
• hxxps://www.dailynk[.]com/wp-includes/js/jquery/jquery-migrate.min.js?ver=3.3.2

盡管這些鏈接都可以通往真實(shí)的文件，但是內(nèi)容都被攻擊者修改了。其中包含重定向用戶，從攻擊者控制的域名jquery[.]services加載惡意JS。并且，由于攻擊者控制的代碼只加入了很短的時(shí)間就被移除了，因此很難被發(fā)現(xiàn)。

此次攻擊中，攻擊者利用了兩個(gè)Internet Explorer的漏洞，漏洞被命名為CVE-2020-1380和CVE-2021-26411，這兩個(gè)漏洞分別在2020年8月和2021年3月被修補(bǔ)。

• CVE-2020-1380是一個(gè)腳本引擎內(nèi)存破壞漏洞，CVSS評(píng)分為7.5。
• CVE-2021-26411是一個(gè)Internet Explorer內(nèi)存破壞漏洞，CVSS評(píng)分為8.8。

這兩個(gè)漏洞都被在野積極利用。其中CVE-2021-26411已經(jīng)被一朝鮮APT組織在1月份針對(duì)從事漏洞研究的安全研究人員的攻擊中利用。

定向攻擊，難以被發(fā)現(xiàn)

Volexity表示，雖然該組織此次所利用的是已被修補(bǔ)的兩個(gè)漏洞，只對(duì)少部分用戶起作用。但是，InkySquid 組織針對(duì)可以被利用的用戶展開了“定制”攻擊，大大增強(qiáng)了成功率。

• 首先，該組織巧妙地將惡意代碼偽裝于合法代碼之中，使其更難識(shí)別。
• 其次，他們只允許能夠被攻擊的用戶訪問惡意代碼，使其難以被大規(guī)模識(shí)別(如通過自動(dòng)掃描網(wǎng)站)。
• 此外，該組織使用了新的自定義惡意軟件，如BLUELIGHT。在成功利用C2通信后，不容易被大部分解決方案發(fā)現(xiàn)。

BLUELIGHT惡意軟件家族

BLUELIGHT被用作于初始Cobalt Strike有效載荷成功交付后的第二級(jí)有效載荷，被用來(lái)收集受感染系統(tǒng)的情報(bào)，并向攻擊者提供遠(yuǎn)程訪問。它支持以下命令：

• 執(zhí)行下載的shellcode
• 下載并啟動(dòng)一個(gè)可執(zhí)行程序，然后上傳程序輸出
• 收集支持的瀏覽器的cookies和密碼數(shù)據(jù)庫(kù)，包括Win7 IE、Win10 IE、Edge、Chrome和Naver Whale
• 遞歸搜索路徑并上傳文件元數(shù)據(jù)(時(shí)間戳、大小和完整路徑)
• 生成一個(gè)線程來(lái)遞歸搜索一個(gè)路徑，并將文件作為ZIP檔案上傳
• 終止文件上傳線程
• 卸載植入物