InkySquid Threat Actor misbruger sårbarheder i Internet Explorer

Sikkerhedsforskere har opdaget en ny trusselkampagne, der tilsyneladende drives af det, der menes at være en statsstøttet nordkoreansk trusselsaktør kendt som APT37 eller InkySquid. Kampagnen er rettet mod en sydkoreansk avis ved hjælp af det infosec kalder et 'vandhulangreb'.

Vandingshulangreb er baseret på observation eller godt gæt. Trusselsaktører enten sporer eller gætter på et websted eller onlinetjeneste, der ofte bruges af virksomhedens medarbejdere og derefter inficerer målwebstedet med malware. Ved et besøg på stedet som de plejer, bliver offerets medarbejdere i sidste ende inficeret med malware.

Undersøgelsen af dette særlige angreb blev udført af et team, der arbejdede med sikkerhedsfirmaet Volexity. Teamet opdagede udseendet af mistænkelig kode indlæst på webstedet for Daily NK - et sydkoreansk nyhedswebsted, der primært beskæftiger sig med nyheder vedrørende landets nordlige nabo.

Angrebet blev udført ved hjælp af ondsindet JavaScript -kode, skjult blandt almindelig, legitim kode på webstedet. Forskerne fandt ud af, at InkySquid -teamet brugte bPopUp - et JavaScript -bibliotek sammen med deres brugerdefinerede ondsindede kode.

Den ondsindede kode var meget godt camoufleret mellem uddrag af almindelig webstedskode, og forskere mener, at den let ville undvige både automatiseret og manuel registrering. Internet Explorer-sårbarheden, som angrebet misbruger, er kodificeret som CVE-2020-1380.

Når det kommer til angrebets specifikationer, brugte InkySquid -gruppen kodede strenge, der blev gemt i SVG -vektorgrafikfilmærker.

Den samme trusselsaktør har også udviklet en ny familie af malware, som forskere kaldte Bluelight. I disse angreb fungerer Bluelight som et andet trin nyttelast, hvor den primære nyttelast er gemt i SVG -tagstrengene.

Malwareens kommando- og kontrolinfrastruktur er afhængig af cloud -tjenester, herunder Microsoft Graph API og Google Drive.

Heldigvis, med Internet Explorer nu stort set erstattet af Edge for dem, der ønsker at holde sig til deres Windows-systems indbyggede browser, vil angrebet ikke fungere på et stort antal ofre. På trods af det bemærkede forskere, at den ondsindede kode var særlig godt skjult på stedet, der blev brugt som vandhul, hvilket gør lignende angreb meget vanskelige at få øje på.

InkySquid Threat Actor misbruger sårbarheder i Internet Explorer Video

Tip: Gør din lyd ON og se videoen i fuldskærmstilstand.