InkySquid Threat Actor che abusa delle vulnerabilità di Internet Explorer

I ricercatori della sicurezza hanno individuato una nuova campagna di minacce, apparentemente gestita da quello che si ritiene sia un attore di minacce nordcoreano sponsorizzato dallo stato noto come APT37 o InkySquid. La campagna prende di mira un quotidiano sudcoreano usando quello che infosec chiama un "attacco di watering hole".

Gli attacchi ai pozzi d'acqua si basano sull'osservazione o su buone congetture. Gli attori delle minacce tracciano o fanno un'ipotesi plausibile su un sito Web o un servizio online comunemente utilizzato dai dipendenti di un'azienda e quindi infettano il sito Web di destinazione con malware. Dopo aver visitato il sito come fanno di solito, i dipendenti della vittima alla fine vengono infettati dal malware.

La ricerca su questo particolare attacco è stata condotta da un team che lavora con la società di sicurezza Volexity. Il team ha notato la comparsa di codice sospetto caricato nel sito Web di Daily NK, un sito di notizie sudcoreano, che si occupa principalmente di notizie relative al vicino settentrionale del paese.

L'attacco è stato effettuato utilizzando codice JavaScript dannoso, nascosto tra il normale codice legittimo sul sito. I ricercatori hanno scoperto che il team di InkySquid ha utilizzato bPopUp, una libreria JavaScript, insieme al proprio codice dannoso personalizzato.

Il codice dannoso è stato mimetizzato molto bene tra frammenti di codice del sito Web normale e i ricercatori ritengono che sarebbe in grado di eludere facilmente il rilevamento automatico e manuale. La vulnerabilità di Internet Explorer di cui l'attacco abusa è codificata come CVE-2020-1380.

Per quanto riguarda le specifiche dell'attacco, il gruppo InkySquid ha utilizzato stringhe codificate conservate nei tag dei file di grafica vettoriale SVG.

Lo stesso attore delle minacce ha anche sviluppato una nuova famiglia di malware che i ricercatori hanno soprannominato Bluelight. In questi attacchi, Bluelight funge da payload di seconda fase, con il payload primario archiviato nelle stringhe di tag SVG.

L'infrastruttura di comando e controllo del malware si basa su servizi cloud, tra cui Microsoft Graph API e Google Drive.

Per fortuna, con Internet Explorer ora ampiamente sostituito da Edge per coloro che desiderano rimanere con il browser integrato del proprio sistema Windows, l'attacco non funzionerà su un numero enorme di vittime. Nonostante ciò, i ricercatori hanno notato che il codice dannoso era particolarmente ben nascosto nel sito utilizzato come abbeveratoio, il che rende molto difficili da individuare attacchi simili.

InkySquid Threat Actor che abusa delle vulnerabilità di Internet Explorer Video

Suggerimento: attiva l' audio e guarda il video in modalità Schermo intero .