InkySquid Threat Actor misbruikt kwetsbaarheden in Internet Explorer

Beveiligingsonderzoekers hebben een nieuwe dreigingscampagne gespot, schijnbaar geleid door wat wordt verondersteld een door de staat gesponsorde Noord-Koreaanse dreigingsactor te zijn, bekend als APT37 of InkySquid. De campagne is gericht op een Zuid-Koreaanse krant die gebruikmaakt van wat infosec een 'watering hole-aanval' noemt.

Watering hole-aanvallen zijn gebaseerd op observatie of goed giswerk. Bedreigingsactoren traceren of doen een weloverwogen gok over een website of online service die vaak wordt gebruikt door de werknemers van een bedrijf en infecteren vervolgens de doelwebsite met malware. Bij het bezoeken van de site zoals ze gewoonlijk doen, raken de werknemers van het slachtoffer uiteindelijk besmet met de malware.

Het onderzoek naar deze specifieke aanval is uitgevoerd door een team dat samenwerkt met beveiligingsbedrijf Volexity. Het team zag het verschijnen van verdachte code die was geladen op de website van Daily NK - een Zuid-Koreaanse nieuwssite die zich voornamelijk bezighoudt met nieuws over de noordelijke buur van het land.

De aanval werd uitgevoerd met behulp van kwaadaardige JavaScript-code, verborgen tussen reguliere, legitieme code op de site. De onderzoekers ontdekten dat het InkySquid-team bPopUp gebruikte - een JavaScript-bibliotheek, samen met hun aangepaste kwaadaardige code.

De kwaadaardige code was zeer goed gecamoufleerd tussen fragmenten van reguliere websitecode en onderzoekers denken dat het gemakkelijk zowel geautomatiseerde als handmatige detectie zou kunnen ontwijken. De kwetsbaarheid van Internet Explorer die door de aanval wordt misbruikt, is gecodificeerd als CVE-2020-1380.

Als het gaat om de details van de aanval, gebruikte de InkySquid-groep gecodeerde tekenreeksen die werden bewaard in SVG-tags voor vectorafbeeldingen.

Dezelfde dreigingsactor heeft ook een nieuwe familie malware ontwikkeld die onderzoekers Bluelight hebben genoemd. Bij die aanvallen fungeert Bluelight als een payload van de tweede fase, waarbij de primaire payload wordt opgeslagen in de SVG-tagstrings.

De commando- en controle-infrastructuur van de malware is afhankelijk van cloudservices, waaronder Microsoft Graph API en Google Drive.

Gelukkig, nu Internet Explorer grotendeels is vervangen door Edge voor degenen die bij de ingebouwde browser van hun Windows-systeem willen blijven, zal de aanval niet werken op een groot aantal slachtoffers. Desondanks merkten onderzoekers op dat de kwaadaardige code bijzonder goed verborgen was op de site die als watergat werd gebruikt, waardoor vergelijkbare aanvallen erg moeilijk te herkennen zijn.

InkySquid Threat Actor misbruikt kwetsbaarheden in Internet Explorer Video

Tip: Zet je geluid AAN en bekijk de video in de modus Volledig scherm.