Volexity的新分析报告称,从4月开始,专注于朝鲜新闻的朝鲜日报网站上出现了恶意代码。
研究人员发现该恶意代码可以通过www.dailynk[.com]加载到jquery[.]服务的恶意子域。下面加载恶意代码的URL如下:
- hxxps://www.dailynk[.]com/wp-includes/js/jquery/jquery.min.js?ver=3.5.1
- hxxps://www.dailynk[.]com/wp-includes/js/jquery/jquery-migrate.min.js?ver=3.3.2
尽管这些链接都可以通往真实的文件,但是内容都被攻击者修改了。其中包含重定向用户,从攻击者控制的域名jquery[.]services加载恶意JS。并且,由于攻击者控制的代码只加入了很短的时间就被移除了,因此很难被发现。
此次攻击中,攻击者利用了两个Internet Explorer的漏洞,漏洞被命名为CVE-2020-1380和CVE-2021-26411,这两个漏洞分别在2020年8月和2021年3月被修补。
- CVE-2020-1380是一个脚本引擎内存破坏漏洞,CVSS评分为7.5。
- CVE-2021-26411是一个Internet Explorer内存破坏漏洞,CVSS评分为8.8。
这两个漏洞都被在野积极利用。其中CVE-2021-26411已经被一朝鲜APT组织在1月份针对从事漏洞研究的安全研究人员的攻击中利用。
定向攻击,难以被发现
Volexity表示,虽然该组织此次所利用的是已被修补的两个漏洞,只对少部分用户起作用。但是,InkySquid 组织针对可以被利用的用户展开了“定制”攻击,大大增强了成功率。
- 首先,该组织巧妙地将恶意代码伪装于合法代码之中,使其更难识别。
- 其次,他们只允许能够被攻击的用户访问恶意代码,使其难以被大规模识别(如通过自动扫描网站)。
- 此外,该组织使用了新的自定义恶意软件,如BLUELIGHT。在成功利用C2通信后,不容易被大部分解决方案发现。
BLUELIGHT恶意软件家族
BLUELIGHT被用作于初始Cobalt Strike有效载荷成功交付后的第二级有效载荷,被用来收集受感染系统的情报,并向攻击者提供远程访问。它支持以下命令:
- 执行下载的shellcode
- 下载并启动一个可执行程序,然后上传程序输出
- 收集支持的浏览器的cookies和密码数据库,包括Win7 IE、Win10 IE、Edge、Chrome和Naver Whale
- 递归搜索路径并上传文件元数据(时间戳、大小和完整路径)
- 生成一个线程来递归搜索一个路径,并将文件作为ZIP档案上传
- 终止文件上传线程
- 卸载植入物