freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

与朝鲜有关的InkySquid APT组织正积极利用IE漏洞
2021-08-31 16:19:39

网络安全公司Volexity的专家报告,与朝鲜有关的InkySquid组织(又名ScarCruft、APT37、Group123和Reaper)在针对韩国一家在线报纸的攻击中,利用两个IE浏览器的漏洞进行水坑攻击。

1630397818_612de57a87ebd9ab7c8f5.png!small?1630397818930

Volexity的新分析报告称,从4月开始,专注于朝鲜新闻的朝鲜日报网站上出现了恶意代码。

研究人员发现该恶意代码可以通过www.dailynk[.com]加载到jquery[.]服务的恶意子域。下面加载恶意代码的URL如下:

hxxps://www.dailynk[.]com/wp-includes/js/jquery/jquery.min.js?ver=3.5.1

hxxps://www.dailynk[.]com/wp-includes/js/jquery/jquery-migrate.min.js?ver=3.3.2

尽管这些链接都可以通往真实的文件,但是内容都被攻击者修改了。其中包含重定向用户,从攻击者控制的域名jquery[.]services加载恶意JS。并且,由于攻击者控制的代码只加入了很短的时间就被移除了,因此很难被发现。

此次攻击中,攻击者利用了两个Internet Explorer的漏洞,漏洞被命名为CVE-2020-1380和CVE-2021-26411,这两个漏洞分别在2020年8月和2021年3月被修补。

CVE-2020-1380是一个脚本引擎内存破坏漏洞,CVSS评分为7.5。

CVE-2021-26411是一个Internet Explorer内存破坏漏洞,CVSS评分为8.8。

这两个漏洞都被在野积极利用。其中CVE-2021-26411已经被一朝鲜APT组织在1月份针对从事漏洞研究的安全研究人员的攻击中利用。

定向攻击,难以被发现

Volexity表示,虽然该组织此次所利用的是已被修补的两个漏洞,只对少部分用户起作用。但是,InkySquid 组织针对可以被利用的用户展开了“定制”攻击,大大增强了成功率。

首先,该组织巧妙地将恶意代码伪装于合法代码之中,使其更难识别。

其次,他们只允许能够被攻击的用户访问恶意代码,使其难以被大规模识别(如通过自动扫描网站)。

此外,该组织使用了新的自定义恶意软件,如BLUELIGHT。在成功利用C2通信后,不容易被大部分解决方案发现。

BLUELIGHT恶意软件家族

BLUELIGHT被用作于初始Cobalt Strike有效载荷成功交付后的第二级有效载荷,被用来收集受感染系统的情报,并向攻击者提供远程访问。它支持以下命令:

执行下载的shellcode

下载并启动一个可执行程序,然后上传程序输出

收集支持的浏览器的cookies和密码数据库,包括Win7 IE、Win10 IE、Edge、Chrome和Naver Whale

递归搜索路径并上传文件元数据(时间戳、大小和完整路径)

生成一个线程来递归搜索一个路径,并将文件作为ZIP档案上传

终止文件上传线程

卸载植入物

参考

securityaffairs

threatpost

# 漏洞 # IE # apt # APT
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录