Volexity的新分析报告称,从4月开始,恶意代码出现在以朝鲜为重点的朝鲜日报网站上。研究人员发现,恶意代码可以通过www.dailynk[.com]加载到jquery[.]服务的恶意子域中。加载恶意代码的URL如下:hxxps://www.dailynk[.]com/wp-includes/js/jquery/jquery.min.js?ver=3.5.1hxxps://www.dailynk[.]com/wp-includes/js/jquery/jquery-migrate.min.js?ver=3.3.2虽然这些链接可以指向真实文件,但内容已被攻击者修改。这包括重定向用户以从攻击者控制的域jquery[.]services加载恶意J??S。而且,由于攻击者控制的代码在被删除之前只添加了很短的时间,因此很难检测到。在这次攻击中,攻击者利用了两个InternetExplorer漏洞,名为CVE-2020-1380和CVE-2021-26411,分别于2020年8月和2021年3月进行了修补。CVE-2020-1380是脚本引擎内存损坏漏洞,CVSS评分为7.5。CVE-2021-26411是一个InternetExplorer内存损坏漏洞,CVSS评分为8.8。这两个漏洞都在野外被积极利用。其中,CVE-2021-26411已被朝鲜APT组织用于1月份对从事漏洞研究的安全研究人员的攻击。针对性攻击难以察觉Volexity表示,虽然该组织利用了此次已修复的两个漏洞,但仅对小部分用户有效。然而,InkySquid组织针对可利用的用户发起了“量身定制”的攻击,大大提高了成功率。首先,该组织巧妙地将恶意代码伪装在合法代码中,使其更难识别。其次,它们只允许可能受到攻击的用户访问恶意代码,因此难以大规模识别(例如通过自动扫描网站)。此外,该组织还使用了新的自定义恶意软件,例如BLUELIGHT。成功利用C2通信后,不容易被大多数解决方案发现。BLUELIGHT恶意软件家族BLUELIGHT在成功交付初始CobaltStrike有效载荷后用作第二阶段有效载荷,以收集有关受感染系统的情报并为攻击者提供远程访问。它支持以下命令:执行下载的shellcode下载并启动可执行程序,然后上传程序输出收集支持的浏览器的cookie和密码数据库,包括Win7IE、Win10IE、Edge、Chrome和NaverWhale递归搜索路径并上传文件元数据(时间戳、大小和完整路径)生成一个线程以递归搜索路径并将文件作为ZIP存档上传终止文件上传线程卸载植入程序
