朝鲜黑客入侵韩国网站，部署浏览器漏洞以传播恶意软件

作为针对韩国在线报纸的战略网络入侵 (SWC) 的一部分，一名朝鲜威胁演员被发现利用 Internet Explorer 中的两个漏洞利用自定义植入程序感染受害者。

网络安全公司 Volexity将这些攻击归咎于它追踪的 InkySquid 威胁行为者，并以 ScarCruft 和 APT37 这两个绰号而广为人知。据称，该刊物 Daily NK 至少从 2021 年 3 月下旬至 2021 年 6 月上旬托管了恶意代码。

Volexity 研究人员表示，“在合法代码中巧妙伪装漏洞利用代码”和自定义恶意软件的使用使攻击者能够避免检测。

这些攻击涉及篡改网站上托管的 jQuery JavaScript 库，以从远程 URL 提供额外的混淆 JavaScript 代码，利用它来利用 Microsoft 在2020 年 8 月和2021年3 月修补的两个 Internet Explorer 漏洞。成功的利用导致部署了 Cobalt Strike stager 和名为 BLUELIGHT 的新型后门。

• CVE-2020-1380（CVSS 评分：7.5）——脚本引擎内存损坏漏洞
• CVE-2021-26411（CVSS 评分：8.8）——Internet Explorer 内存损坏漏洞

值得注意的是，这两个漏洞都在野外被积极利用，后者被朝鲜黑客用来危害从事漏洞研究和开发的安全研究人员在今年 1 月初曝光的活动中。

在上个月披露的另一组攻击中，发现身份不明的威胁参与者利用相同的缺陷在受感染的 Windows 系统上提供功能齐全的基于 VBA 的远程访问木马 (RAT)。

在成功交付 Cobalt Strike 之后，BLUELIGHT 被用作辅助有效载荷，用作功能齐全的远程访问工具，可提供对受感染系统的完整访问权限。

除了收集系统元数据和有关已安装防病毒产品的信息外，该恶意软件还能够执行 shellcode，从 Internet Explorer、Microsoft Edge 和 Google Chrome 浏览器收集 cookie 和密码，收集文件并下载任意可执行文件，其结果会被泄露到远程服务器。

研究人员指出：“虽然 SWC 不像以前那么受欢迎，但它们仍然是许多攻击者武器库中的武器。” “对 Internet Explorer 和 Microsoft Edge 使用最近修补的漏洞仅适用于有限的受众。”