Autor da Ameaça InkySquid Abusando das Vulnerabilidades do Internet Explorer

Os pesquisadores de segurança descobriram uma nova campanha de ameaças, aparentemente conduzida por um agente de ameaças norte-coreano patrocinado pelo estado conhecido como APT37 ou InkySquid. A campanha tem como alvo um jornal sul-coreano que usa o que a infosec chama de 'Watering Hole attack'.

Os Ataques de Watering Hole são baseados em observação ou boas suposições. Os agentes de ameaças rastreiam ou fazem uma suposição fundamentada sobre um site ou serviço online que é comumente usado por funcionários de uma empresa e, em seguida, infectam o site de destino com malware. Ao visitar o site como costumam fazer, os funcionários da vítima acabam sendo infectados com o malware.

A pesquisa sobre esse ataque em particular foi conduzida por uma equipe que trabalha com a empresa de segurança Volexity. A equipe detectou o surgimento de um código suspeito carregado no site do Daily NK - um site de notícias sul-coreano que lida principalmente com notícias pertencentes ao vizinho do norte do país.

O ataque foi realizado usando código JavaScript malicioso, escondido entre códigos legítimos regulares no site. Os pesquisadores descobriram que a equipe InkySquid usou o bPopUp - uma biblioteca JavaScript, junto com seu código malicioso personalizado.

O código malicioso foi muito bem camuflado entre snippets de código normal de um site e os pesquisadores acreditam que ele facilmente se esquivaria da detecção automática e manual. A vulnerabilidade do Internet Explorer que o ataque abusa é codificada como CVE-2020-1380.

Quando se trata dos detalhes do ataque, o grupo InkySquid usou strings codificadas que foram mantidas em tags de arquivos gráficos vetoriais SVG.

O mesmo autor de ameaça também desenvolveu uma nova família de malware que os pesquisadores apelidaram de Bluelight. Nesses ataques, o Bluelight atua como uma carga útil de segundo estágio, com a carga útil primária armazenada nas strings de tag SVG.

A infraestrutura de Comando e Controle do malware depende de serviços em nuvem, incluindo Microsoft Graph API e Google Drive.

Felizmente, com o Internet Explorer amplamente substituído pelo Edge para aqueles que querem ficar com o navegador integrado do sistema Windows, o ataque não funcionará em um grande número de vítimas. Apesar disso, os pesquisadores notaram que o código malicioso estava particularmente bem escondido no site usado como o Watering Hole, o que torna ataques semelhantes muito difíceis de detectar.

Autor da Ameaça InkySquid Abusando das Vulnerabilidades do Internet Explorer Vídeo

Dica: Ligue o som e assistir o vídeo em modo de tela cheia.