与朝鲜有关的InkySquidAPT组织正积极利用IE漏洞

Volexity的新分析报告称，从4月开始，专注于朝鲜新闻的朝鲜日报网站上出现了恶意代码。

成都创新互联服务项目包括萧山网站建设、萧山网站制作、萧山网页制作以及萧山网络营销策划等。多年来，我们专注于互联网行业，利用自身积累的技术优势、行业经验、深度合作伙伴关系等，向广大中小型企业、政府机构等提供互联网行业的解决方案，萧山网站推广取得了明显的社会效益与经济效益。目前，我们服务的客户以成都为中心已经辐射到萧山省份的部分城市，未来相信会继续扩大服务区域并继续获得客户的支持与信任！

研究人员发现该恶意代码可以通过www.dailynk[.com]加载到jquery[.]服务的恶意子域。下面加载恶意代码的URL如下：

• hxxps://www.dailynk[.]com/wp-includes/js/jquery/jquery.min.js?ver=3.5.1
• hxxps://www.dailynk[.]com/wp-includes/js/jquery/jquery-migrate.min.js?ver=3.3.2

尽管这些链接都可以通往真实的文件，但是内容都被攻击者修改了。其中包含重定向用户，从攻击者控制的域名jquery[.]services加载恶意JS。并且，由于攻击者控制的代码只加入了很短的时间就被移除了，因此很难被发现。

此次攻击中，攻击者利用了两个Internet Explorer的漏洞，漏洞被命名为CVE-2020-1380和CVE-2021-26411，这两个漏洞分别在2020年8月和2021年3月被修补。

• CVE-2020-1380是一个脚本引擎内存破坏漏洞，CVSS评分为7.5。
• CVE-2021-26411是一个Internet Explorer内存破坏漏洞，CVSS评分为8.8。

这两个漏洞都被在野积极利用。其中CVE-2021-26411已经被一朝鲜APT组织在1月份针对从事漏洞研究的安全研究人员的攻击中利用。

定向攻击，难以被发现

Volexity表示，虽然该组织此次所利用的是已被修补的两个漏洞，只对少部分用户起作用。但是，InkySquid 组织针对可以被利用的用户展开了“定制”攻击，大大增强了成功率。

• 首先，该组织巧妙地将恶意代码伪装于合法代码之中，使其更难识别。
• 其次，他们只允许能够被攻击的用户访问恶意代码，使其难以被大规模识别(如通过自动扫描网站)。
• 此外，该组织使用了新的自定义恶意软件，如BLUELIGHT。在成功利用C2通信后，不容易被大部分解决方案发现。

BLUELIGHT恶意软件家族

BLUELIGHT被用作于初始Cobalt Strike有效载荷成功交付后的第二级有效载荷，被用来收集受感染系统的情报，并向攻击者提供远程访问。它支持以下命令：

• 执行下载的shellcode
• 下载并启动一个可执行程序，然后上传程序输出
• 收集支持的浏览器的cookies和密码数据库，包括Win7 IE、Win10 IE、Edge、Chrome和Naver Whale
• 递归搜索路径并上传文件元数据(时间戳、大小和完整路径)
• 生成一个线程来递归搜索一个路径，并将文件作为ZIP档案上传
• 终止文件上传线程
• 卸载植入物

名称栏目：与朝鲜有关的InkySquidAPT组织正积极利用IE漏洞
链接URL：http://www.36103.cn/qtweb/news44/11244.html

网站建设、网络推广公司-创新互联，是专注品牌与效果的网站制作，网络营销seo公司；服务项目有等

广告

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源： 创新互联