Peretas NK Menyebarkan Eksploitasi Browser di Situs Korea Selatan untuk Menyebarkan Malware

  • Whatsapp
Perangkat lunak perusak

Seorang aktor ancaman Korea Utara telah ditemukan mengambil keuntungan dari dua eksploitasi di Internet Explorer untuk menginfeksi korban dengan implan khusus sebagai bagian dari kompromi web strategis (SWC) yang menargetkan surat kabar online Korea Selatan.

Perusahaan keamanan siber Volexity dikaitkan serangan lubang berair ke aktor ancaman yang dilacaknya sebagai InkySquid, dan lebih dikenal luas dengan julukan ScarCruft dan APT37. Daily NK, publikasi yang dimaksud, dikatakan telah meng-host kode berbahaya setidaknya dari akhir Maret 2021 hingga awal Juni 2021.

Bacaan Lainnya

Penyamaran cerdik dari kode eksploitasi di antara kode yang sah dan penggunaan malware khusus memungkinkan penyerang untuk menghindari deteksi, kata peneliti Volexity.

Tim Stack Overflow

Serangan tersebut melibatkan perusakan pustaka JavaScript jQuery yang dihosting di situs web untuk menyajikan kode JavaScript tambahan yang dikaburkan dari URL jarak jauh, menggunakannya untuk memanfaatkan eksploitasi untuk dua kelemahan Internet Explorer yang ditambal oleh Microsoft pada Agustus 2020 dan Maret 2021. Eksploitasi yang berhasil menghasilkan penyebaran stager Cobalt Strike dan pintu belakang baru yang disebut BLUELIGHT.

  • CVE-2020-1380 (Skor CVSS: 7,5) – Kerentanan Kerusakan Memori Mesin Scripting
  • CVE-2021-26411 (Skor CVSS: 8,8) – Kerentanan Korupsi Memori Internet Explorer

Perlu dicatat bahwa kedua kelemahan tersebut telah dieksploitasi secara aktif di alam liar, dengan yang terakhir digunakan oleh peretas Korea Utara untuk berkompromi dengan peneliti keamanan yang bekerja pada penelitian dan pengembangan kerentanan dalam kampanye yang terungkap awal Januari ini.

Dalam serangkaian serangan terpisah yang diungkapkan bulan lalu, aktor ancaman tak dikenal ditemukan mengeksploitasi kelemahan yang sama untuk mengirimkan trojan akses jarak jauh (RAT) berbasis VBA berfitur lengkap pada sistem Windows yang disusupi.

Manajemen Kata Sandi Perusahaan

BLUELIGHT digunakan sebagai muatan sekunder setelah pengiriman Cobalt Strike yang sukses, berfungsi sebagai alat akses jarak jauh berfitur lengkap yang menyediakan akses lengkap ke sistem yang disusupi.

Selain mengumpulkan metadata sistem dan informasi tentang produk antivirus yang diinstal, malware ini mampu mengeksekusi shellcode, memanen cookie dan kata sandi dari browser Internet Explorer, Microsoft Edge, dan Google Chrome, mengumpulkan file dan mengunduh executable sewenang-wenang, yang hasilnya dieksfiltrasi ke server jauh.

“Meskipun SWC tidak sepopuler dulu, mereka terus menjadi senjata di gudang senjata banyak penyerang,” catat para peneliti. “Penggunaan eksploitasi yang baru-baru ini ditambal untuk Internet Explorer dan Microsoft Edge hanya akan bekerja terhadap audiens yang terbatas.”

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *