Licenser för flera enheter (volymrabatter)

Ändra region

English Dansk Deutsch Español Français Italiano Nederlands Polski Português Svenska Türkçe हिन्दी 日本語 汉语 漢語
Computer Security InkySquid Threat Actor missbrukar Internet Explorer...

InkySquid Threat Actor missbrukar Internet Explorer -sårbarheter

Med Mura år Computer Security
Översätt till:
Svenska

Säkerhetsforskare har upptäckt en ny hotkampanj, som till synes drivs av vad som antas vara en statligt sponsrad nordkoreansk hotaktör känd som APT37 eller InkySquid. Kampanjen är inriktad på en sydkoreansk tidning som använder vad infosec kallar en "vattenhålsattack".

Vattenhålsattacker baseras på observation eller bra gissningar. Hotaktörer antingen spårar eller gör en utbildad gissning om en webbplats eller onlinetjänst som vanligtvis används av ett företags anställda och sedan infekterar målwebbplatsen med skadlig kod. När de besöker webbplatsen som de brukar smittas offrets anställda så småningom av skadlig programvara.

Forskningen om just denna attack genomfördes av ett team som arbetade med säkerhetsföretaget Volexity. Teamet såg hur misstänkt kod laddades in på webbplatsen för Daily NK - en sydkoreansk nyhetssajt, som främst behandlar nyheter som rör landets norra granne.

Attacken utfördes med hjälp av skadlig JavaScript -kod, gömd bland vanlig, legitim kod på webbplatsen. Forskarna fick reda på att InkySquid -teamet använde bPopUp - ett JavaScript -bibliotek, tillsammans med deras anpassade skadliga kod.

Den skadliga koden var mycket väl kamouflerad mellan utdrag av vanlig webbplatskod och forskare tror att den lätt skulle undvika både automatisk och manuell upptäckt. Internet Explorer-sårbarheten som attacken missbrukar är kodad som CVE-2020-1380.

När det gäller angreppets detaljer använde InkySquid -gruppen kodade strängar som förvarades i SVG -vektorgrafikfiltaggar.

Samma hotaktör har också utvecklat en ny familj av skadlig programvara som forskare kallade Bluelight. I dessa attacker fungerar Bluelight som en andra etapps nyttolast, med den primära nyttolasten lagrad i SVG -taggsträngarna.

Malwareens kommando- och kontrollinfrastruktur bygger på molntjänster, inklusive Microsoft Graph API och Google Drive.

Tack och lov, med Internet Explorer nu till stor del ersatt av Edge för dem som vill hålla sig till sitt Windows-systems inbyggda webbläsare, kommer attacken inte att fungera på ett stort antal offer. Trots det noterade forskare att den skadliga koden var särskilt väl gömd på webbplatsen som används som vattenhål, vilket gör liknande attacker mycket svåra att upptäcka.

InkySquid Threat Actor missbrukar Internet Explorer -sårbarheter Video

Tips: Slå ljudet och titta på videon i helskärmsläge .

Läser in...