与朝鲜有关的InkySquid APT组织正积极利用IE漏洞

网络安全公司Volexity的专家报告，与朝鲜有关的InkySquid组织（又名ScarCruft、APT37、Group123和Reaper）在针对韩国一家在线报纸的攻击中，利用两个IE浏览器的漏洞进行水坑攻击。

Volexity的新分析报告称，从4月开始，专注于朝鲜新闻的朝鲜日报网站上出现了恶意代码。

研究人员发现该恶意代码可以通过www.dailynk[.com]加载到jquery[.]服务的恶意子域。下面加载恶意代码的URL如下：

hxxps://www.dailynk[.]com/wp-includes/js/jquery/jquery.min.js?ver=3.5.1 hxxps://www.dailynk[.]com/wp-includes/js/jquery/jquery-migrate.min.js?ver=3.3.2

尽管这些链接都可以通往真实的文件，但是内容都被攻击者修改了。其中包含重定向用户，从攻击者控制的域名jquery[.]services加载恶意JS。并且，由于攻击者控制的代码只加入了很短的时间就被移除了，因此很难被发现。

此次攻击中，攻击者利用了两个Internet Explorer的漏洞，漏洞被命名为CVE-2020-1380和CVE-2021-26411，这两个漏洞分别在2020年8月和2021年3月被修补。

CVE-2020-1380是一个脚本引擎内存破坏漏洞，CVSS评分为7.5。 CVE-2021-26411是一个Internet Explorer内存破坏漏洞，CVSS评分为8.8。

这两个漏洞都被在野积极利用。其中CVE-2021-26411已经被一朝鲜APT组织在1月份针对从事漏洞研究的安全研究人员的攻击中利用。

定向攻击，难以被发现

Volexity表示，虽然该组织此次所利用的是已被修补的两个漏洞，只对少部分用户起作用。但是，InkySquid 组织针对可以被利用的用户展开了“定制”攻击，大大增强了成功率。

首先，该组织巧妙地将恶意代码伪装于合法代码之中，使其更难识别。 其次，他们只允许能够被攻击的用户访问恶意代码，使其难以被大规模识别（如通过自动扫描网站）。 此外，该组织使用了新的自定义恶意软件，如BLUELIGHT。在成功利用C2通信后，不容易被大部分解决方案发现。

BLUELIGHT恶意软件家族

BLUELIGHT被用作于初始Cobalt Strike有效载荷成功交付后的第二级有效载荷，被用来收集受感染系统的情报，并向攻击者提供远程访问。它支持以下命令：

执行下载的shellcode 下载并启动一个可执行程序，然后上传程序输出 收集支持的浏览器的cookies和密码数据库，包括Win7 IE、Win10 IE、Edge、Chrome和Naver Whale 递归搜索路径并上传文件元数据（时间戳、大小和完整路径） 生成一个线程来递归搜索一个路径，并将文件作为ZIP档案上传 终止文件上传线程 卸载植入物

网络安全公司Volexity的专家报告，与朝鲜有关的InkySquid组织（又名ScarCruft、APT37、Group123和Reaper）在针对韩国一家在线报纸的攻击中，利用两个IE浏览器的漏洞进行水坑攻击。

Volexity的新分析报告称，从4月开始，专注于朝鲜新闻的朝鲜日报网站上出现了恶意代码。

研究人员发现该恶意代码可以通过www.dailynk[.com]加载到jquery[.]服务的恶意子域。下面加载恶意代码的URL如下：

hxxps://www.dailynk[.]com/wp-includes/js/jquery/jquery.min.js?ver=3.5.1 hxxps://www.dailynk[.]com/wp-includes/js/jquery/jquery-migrate.min.js?ver=3.3.2

尽管这些链接都可以通往真实的文件，但是内容都被攻击者修改了。其中包含重定向用户，从攻击者控制的域名jquery[.]services加载恶意JS。并且，由于攻击者控制的代码只加入了很短的时间就被移除了，因此很难被发现。

此次攻击中，攻击者利用了两个Internet Explorer的漏洞，漏洞被命名为CVE-2020-1380和CVE-2021-26411，这两个漏洞分别在2020年8月和2021年3月被修补。

CVE-2020-1380是一个脚本引擎内存破坏漏洞，CVSS评分为7.5。 CVE-2021-26411是一个Internet Explorer内存破坏漏洞，CVSS评分为8.8。

这两个漏洞都被在野积极利用。其中CVE-2021-26411已经被一朝鲜APT组织在1月份针对从事漏洞研究的安全研究人员的攻击中利用。

定向攻击，难以被发现

Volexity表示，虽然该组织此次所利用的是已被修补的两个漏洞，只对少部分用户起作用。但是，InkySquid 组织针对可以被利用的用户展开了“定制”攻击，大大增强了成功率。

首先，该组织巧妙地将恶意代码伪装于合法代码之中，使其更难识别。 其次，他们只允许能够被攻击的用户访问恶意代码，使其难以被大规模识别（如通过自动扫描网站）。 此外，该组织使用了新的自定义恶意软件，如BLUELIGHT。在成功利用C2通信后，不容易被大部分解决方案发现。

BLUELIGHT恶意软件家族

BLUELIGHT被用作于初始Cobalt Strike有效载荷成功交付后的第二级有效载荷，被用来收集受感染系统的情报，并向攻击者提供远程访问。它支持以下命令：

执行下载的shellcode 下载并启动一个可执行程序，然后上传程序输出 收集支持的浏览器的cookies和密码数据库，包括Win7 IE、Win10 IE、Edge、Chrome和Naver Whale 递归搜索路径并上传文件元数据（时间戳、大小和完整路径） 生成一个线程来递归搜索一个路径，并将文件作为ZIP档案上传 终止文件上传线程 卸载植入物

参考

securityaffairs threatpost