Grup Peretas Korea Utara Menggunakan Eksploitasi Browser

  • Whatsapp
Grup Peretas Korea Utara Menggunakan Eksploitasi Browser
Grup Peretas Korea Utara Menggunakan Eksploitasi Browser
Grup Peretas Korea Utara Menggunakan Eksploitasi Browser untuk Mengirimkan Malware Khusus

Pakar keamanan dari perusahaan keamanan siber, Volexity baru-baru ini melaporkan serangan di mana Grup Peretas Korea Utara menggunakan eksploitasi browser untuk menyebarkan malware pelanggan di situs web.

Ini adalah kelompok peretas Korea Utara yang sangat terkenal yang berada di balik serangan ini, tidak hanya itu tetapi mereka juga memiliki jumlah korban yang terbatas yang memanfaatkan eksploitasi untuk kerentanan di browser web untuk mengirimkan malware khusus.

Kelompok ancaman di balik serangan ini disebut InkySquid, dan mereka menggunakan eksploitasi ini sejak tahun 2020 dalam serangan terhadap browser Internet Explorer untuk mengunduh kode Javascript yang dikaburkan yang umumnya tersembunyi di dalam kode yang sah.

Aktivitas SWC

Menurut peneliti keamanan, pada April 2021 Volexity telah mengenali kode mencurigakan yang dimuat melalui www.dailynk[.]com ke subdomain jquery yang tidak sehat[.]jasa.

Ada dua jenis URL yang ditemukan, dan itulah mengapa kami menyebutkannya di bawah ini:-

  • hxxps://www.dailynk[.]com/wp-includes/js/jquery/jquery.min.js?ver=3.5.1
  • hxxps://www.dailynk[.]com/wp-includes/js/jquery/jquery-migrate.min.js?ver=3.3.2

Serangan aktor ancaman telah melibatkan kode yang hanya dilampirkan untuk waktu yang sangat singkat, dan segera setelah operasi, kode itu dengan cepat dihapus.

Menurut laporan dari para analis, membuat deskripsi kegiatan ini cukup sulit karena konten yang tidak baik sulit untuk diidentifikasi.

Kelemahan keamanan

  • CVE-2020-1380 (Skor CVSS: 7,5) – Kerentanan Korupsi Memori Mesin Scripting

Awalnya, Volexity mampu mengenali kode berbahaya, dan pelaku ancaman terlihat menggunakan CVE-2020-1380, sebuah eksploitasi untuk Internet Explorer.

  • CVE-2021-26411 (Skor CVSS: 8,8) – Kerentanan Korupsi Memori Internet Explorer

CVE ini digunakan, dalam eksploitasi lain yang menargetkan Internet Explorer serta versi lama Microsoft Edge. Namun, kode pengalihan diperbaiki dengan cara yang sama seperti yang ditempatkan di CVE-2020-1380.

Nama subdirektori yang digunakan

Di bawah ini kami telah menyebutkan nama subdirektori yang digunakan oleh peretas: –

  • logo
  • normal
  • Latar Belakang
  • tema
  • bulat

Data dikumpulkan

Berikut daftar data yang dikumpulkan oleh pelaku ancaman:-

  • Nama pengguna
  • Nama komputer
  • versi OS
  • IP Web
  • IP lokal dari antarmuka default
  • Waktu lokal
  • Apakah biner implan adalah 32 atau 64 bit
  • Proses tingkat otoritas SID
  • Nama file proses
  • Daftar produk AV yang terpasang
  • Apakah mesin yang terinfeksi menjalankan alat VM

CAHAYA BIRU

Pelaku ancaman telah menerapkan banyak serangan, dan itulah mengapa mereka menggunakan subdomain jquery yang berbeda[.]layanan sehingga mereka dapat meng-host keluarga malware baru dan baru.

Peneliti keamanan menyatakan bahwa file “riwayat” adalah salinan XOR-encoded (0xCF) dari keluarga malware khusus dan pengembang malware serta Volexity ditetapkan sebagai BLUELIGHT.

BLUELIGHT umumnya digunakan sebagai muatan sekunder yang biasanya mengikuti kinerja sukses Cobalt Strike. Namun, pemogokan ini umumnya digunakan sebagai muatan awal dalam kedua kasus eksploitasi.

Dalam operasi BLUELIGHT, pelaku ancaman umumnya menggunakan Microsoft Graph API untuk Microsoft 365, Office, dan layanan lainnya. Sesuai laporan Volexity, kelompok ancaman Korea Utara, bernama ScarCruft atau APT37, juga berada di balik serangan InkySquid.

Selain itu, para ahli berusaha sebaik mungkin untuk mengetahui semua detail utama dari serangan ini, dan bagaimana hal itu dimulai sehingga mereka akan dengan mudah melewati serangan semacam ini di masa mendatang.

Anda dapat mengikuti kami di Linkedin, Indonesia, Facebook untuk pembaruan Cybersecurity harian

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.