Volexity的新数据分析报告称,从4月逐渐,致力于朝鲜新闻的中国朝鲜日报网址上出現了恶意代码。
科学研究工作人员发觉该恶意代码可以根据www.dailynk[.com]载入到jquery[.]服务项目的故意子域名。下边载入恶意代码的URL如下所示:
- hxxps://www.dailynk[.]com/wp-includes/js/jquery/jquery.min.js?ver=3.5.1
- hxxps://www.dailynk[.]com/wp-includes/js/jquery/jquery-migrate.min.js?ver=3.3.2
虽然这种连接都能够通向真正的文档,可是內容都被攻击者改动了。在其中包括跳转客户,从攻击者操纵的网站域名jquery[.]services载入故意JS。而且,因为攻击者操纵的编码只添加了很短的时间段就被移除开,因而难以被发觉。
本次进攻中,攻击者利用了2个Internet Explorer的漏洞,漏洞被取名为CVE-2020-1380和CVE-2021-26411,这两个漏洞各自在2020年8月和2021年3月被修复。
- CVE-2020-1380是一个脚本制作模块运行内存毁坏漏洞,CVSS得分为7.5。
- CVE-2021-26411是一个Internet Explorer运行内存毁坏漏洞,CVSS得分为8.8。
这两个漏洞都被在野积极主动利用。在其中CVE-2021-26411早已被一中国朝鲜APT机构在1月份对于从业漏洞科学研究的安全性科研员工的伤害中利用。
定项进攻,无法被发觉
Volexity表明,尽管该机构本次所利用的是已被修复的2个漏洞,只对一小部分客户起功效。可是,InkySquid 机构对于可以被利用的客户进行了“订制”进攻,大大的提高了通过率。
- 最先,该机构恰当地将恶意代码掩藏于合理合法编码当中,使其更难鉴别。
- 次之,她们只容许可以黑客攻击的客户浏览恶意代码,使其无法被规模性鉴别(如根据全自动扫描仪网址)。
- 除此之外,该机构应用了新的自定恶意程序,如BLUELIGHT。在取得成功利用C2通讯后,不易被绝大多数解决方法发觉。
BLUELIGHT恶意程序大家族
BLUELIGHT被用来于原始Cobalt Strike有效载荷取得成功交货后的第二级有效载荷,被用于搜集受感柒系统软件的情报信息,并向攻击者给予远程连接。它适用下列指令:
- 实行免费下载的shellcode
- 下载并运行一个可执行文件,随后提交程序流程輸出
- 搜集适用的电脑浏览器的cookies和登陆密码数据库查询,包含Win7 IE、Win10 IE、Edge、Chrome和Naver Whale
- 递归法检索途径并文件上传数据库(时间格式、尺寸和详细途径)
- 转化成一个进程来递归法检索一个途径,并将文档做为ZIP档案提交
- 停止上传文件进程
- 卸载掉假体