InkySquid Threat Actor wykorzystujący luki w przeglądarce Internet Explorer

Badacze ds. bezpieczeństwa zauważyli nową kampanię zagrożeń, najwyraźniej prowadzoną przez rzekomo sponsorowanego przez państwo północnokoreańskiego cyberprzestępcę znanego jako APT37 lub InkySquid. Kampania jest wymierzona w południowokoreańską gazetę, używając tego, co infosec nazywa „atakiem wodopoju".

Ataki przy wodopoju opierają się na obserwacji lub dobrym zgadywaniu. Przestępcy śledzą lub domyślają się na temat witryny internetowej lub usługi online, która jest powszechnie używana przez pracowników firmy, a następnie infekują docelową witrynę internetową złośliwym oprogramowaniem. Po odwiedzeniu strony, tak jak zwykle, pracownicy ofiary w końcu zostają zainfekowani złośliwym oprogramowaniem.

Badania nad tym konkretnym atakiem przeprowadził zespół współpracujący z firmą ochroniarską Volexity. Zespół zauważył pojawienie się podejrzanego kodu załadowanego na stronie Daily NK – południowokoreańskiego serwisu informacyjnego, zajmującego się głównie wiadomościami dotyczącymi północnego sąsiada kraju.

Atak został przeprowadzony przy użyciu złośliwego kodu JavaScript, ukrytego wśród zwykłego, legalnego kodu na stronie. Badacze odkryli, że zespół InkySquid używał bPopUp - biblioteki JavaScript, wraz ze swoim niestandardowym złośliwym kodem.

Złośliwy kod był bardzo dobrze zakamuflowany między fragmentami zwykłego kodu witryny, a badacze uważają, że z łatwością uniknąłby zarówno automatycznego, jak i ręcznego wykrycia. Luka w przeglądarce Internet Explorer, którą wykorzystuje atak, jest skodyfikowana jako CVE-2020-1380.

Jeśli chodzi o specyfikę ataku, grupa InkySquid wykorzystała zakodowane ciągi, które były przechowywane w tagach plików grafiki wektorowej SVG.

Ten sam cyberprzestępca opracował również nową rodzinę złośliwego oprogramowania, którą badacze nazwali Bluelight. W tych atakach Bluelight działa jako ładunek drugiego etapu, przy czym główny ładunek jest przechowywany w ciągach tagów SVG.

Infrastruktura dowodzenia i kontroli złośliwego oprogramowania opiera się na usługach w chmurze, w tym Microsoft Graph API i Google Drive.

Na szczęście, ponieważ Internet Explorer został w dużej mierze zastąpiony przez Edge dla tych, którzy chcą trzymać się wbudowanej przeglądarki systemu Windows, atak nie zadziała na ogromnej liczbie ofiar. Mimo to badacze zauważyli, że złośliwy kod był szczególnie dobrze ukryty w witrynie wykorzystywanej jako wodopoj, co sprawia, że podobne ataki są bardzo trudne do wykrycia.

InkySquid Threat Actor wykorzystujący luki w przeglądarce Internet Explorer wideo

Wskazówka: Proszę włączyć dźwięk ON i oglądać filmy w trybie pełnoekranowym.