طورت مجموعة القراصنة في كوريا الشمالية برنامجًا ضارًا مخصصًا باستخدام ثغرات المتصفح.

 


كشفت شركة الأمن السيبراني Volexity عن حملة قرصنة حديثة قامت فيها مجموعة Hacker الكورية الشمالية بنشر البرامج الضارة للعميل من خلال استغلال أخطاء المتصفح.


كان هذا هجومًا شنته مجموعة القرصنة الكورية الشمالية المعروفة ، ليس هذا فقط ، ولكن يُعتقد أنها استخدمت ثغرات المتصفح لإصابة عدد محدود من الضحايا ببرامج ضارة مسجلة الملكية.


على الرغم من أنه ليس اسمًا مستعارًا رسميًا ، فقد أُطلق على منظمة التهديد التي تقف وراء هذا الهجوم اسم InkySquid ، وقد استخدموا هذا الاستغلال لتثبيت كود Javascript غامض على Internet Explorer منذ عام 2020 في الهجمات المستهدفة ضد المتصفح.


متعة SWC

بالنسبة للباحثين الأمنيين ، قرر Volexity في أبريل 2021 أنه تم توزيع التعليمات البرمجية الضارة باستخدام www.dailynk [.] com على المجالات الفرعية في مجال خدمات jQuery [.] التي كانت تحت سيطرة ضارة.


كما ذكرنا سابقًا ، هناك نوعان من عناوين URL تم اكتشافهما:


hxxps: /www.dailynk [.] com / wp-include / js / jquery / jquery.min.js؟ ver = 3.5.1

hxxps: /www.dailynk [.] com / wp-include / js / jquery / jquery-migrate.min.js؟ ver = 3.3.2

غالبًا ما تتضمن هجمات الجهات الفاعلة التهديد رمزًا قصير المدى يستخدم لمرة واحدة يتم محوه فورًا بعد الانتهاء.


وفقًا لتحليل الباحثين ، كان هذا الإجراء صعبًا إلى حد ما في الوصف حيث كان هناك الكثير من المحتوى الخبيث داخل المحتوى السيئ.


نظام تسجيل نقاط الضعف الشائعة CVE-2020-1380 (درجة CVSS: 7.5) ثغرة أمنية لتلف الذاكرة في ذاكرة محرك البرمجة النصية.

كان من الممكن التعرف على الشفرة الخبيثة في البداية ، وتم اكتشاف عامل التهديد باستخدام CVE-2020-1380 ، وهو استغلال لبرنامج Internet Explorer.


الثغرة الأمنية لتلف ذاكرة Internet Explorer CVE-2021-26411 (درجة CVSS: 8.8)

تم استخدام CVE سابقًا في استغلال يؤثر على Internet Explorer و Microsoft Edge أيضًا. ومع ذلك ، تم تعديل رمز إعادة التوجيه بطريقة مماثلة للطريقة التي تم إدخالها بها في CVE-2020-1380.


أسماء الدلائل الفرعية

بالإضافة إلى ذلك ، تم سرد أسماء الأدلة الفرعية للقراصنة أدناه:


الشعار \ snormal \ sbackground \ stheme \ sround

جمع البيانات

جمعت الجهات الفاعلة في التهديد هذه البيانات:


IP الإنترنت

عنوان IP المحلي للواجهة الافتراضية

الوقت المحلي

بغض النظر عن الحجم الثنائي للزرع ، يمكن أن يحتوي الأخير دائمًا على 1000 بت.

قم بزيادة مستوى تخويل العملية SID

معالجة المدخلات الموحدة

تصف هذه القائمة جميع منتجات AV (الصوت / المرئية) المثبتة.

يمكن تثبيت BLUELIGHT سواء كانت محطة العمل المصابة بها أدوات VM قيد التشغيل

قام العديد من الجهات الفاعلة في التهديد بنشر عدد من الهجمات ، ونتيجة لذلك ، استخدموا عائلة برامج ضارة جديدة ومبتكرة مستضافة على نطاق فرعي منفصل من خدمات jquery [.].


أعلن الباحثون أن الملف الذي يحمل عنوان "history" هو نسخة مشفرة بواسطة XOR (0xCF) من عائلة برامج ضارة مملوكة ملكية وأطلقوا عليها اسم BLUELIGHT ، نقلاً عن مطور البرامج الضارة و Volexity ، الذين يزعمون أن BLUELIGHT تم إنشاؤه بواسطة Volexity.


عندما نجح Cobalt Strike ، يتم استخدام BLUELIGHT كحمل ثانوي يتبع. كان هذا هو الحال في كثير من الأحيان ، ولكن في بعض الحالات ، تم استخدام هذا التكتيك كحمولة أولية.


قام ممثلو التهديدات في BLUELIGHT بالوصول في الغالب إلى Microsoft Graph API لـ Microsoft 365 و Office والخدمات الأخرى ، عبر Microsoft Graph API لـ Microsoft 365 و Office والخدمات الأخرى. يقول تحليل Volexity ، وهي مجموعة تهديد كورية شمالية ، تُدعى ScarCruft أو APT37 ، إن InkySquid ، وهي عصابة قرصنة مرتبطة بـ ScarCruft ، تقف أيضًا وراء الهجمات الأخيرة.


كما يبذل الخبراء قصارى جهدهم لمعرفة كل ما في وسعهم حول هذا الهجوم وكيف تم تنفيذه من أجل درء أي محاولات مستقبلية من هذا النوع.

0 تعليقات