Internet Explorer Güvenlik Açıklarını Kötüye Kullanan InkySquid Tehdit Aktörleri

Güvenlik araştırmacıları, görünüşte APT37 veya InkySquid olarak bilinen, devlet destekli bir Kuzey Koreli tehdit aktörü olduğuna inanılanlar tarafından yürütülen yeni bir tehdit kampanyası tespit ettiler. Kampanya, infosec'in "su birikintisi saldırısı" dediği şeyi kullanarak Güney Koreli bir gazeteyi hedefliyor.

Sulama deliği saldırıları, gözleme veya iyi tahminlere dayanır. Tehdit aktörleri, bir şirketin çalışanları tarafından yaygın olarak kullanılan bir web sitesi veya çevrimiçi hizmet hakkında ya izler ya da eğitimli bir tahminde bulunur ve ardından hedef web sitesine kötü amaçlı yazılım bulaştırır. Genelde yaptıkları gibi siteyi ziyaret ettikten sonra, kurbanın çalışanları sonunda kötü amaçlı yazılıma bulaşır.

Bu özel saldırıyla ilgili araştırma, güvenlik firması Volexity ile çalışan bir ekip tarafından gerçekleştirildi. Ekip, öncelikle ülkenin kuzey komşusu ile ilgili haberlerle ilgilenen Güney Koreli bir haber sitesi olan Daily NK'nin web sitesine yüklenen şüpheli kodun görünümünü tespit etti.

Saldırı, sitedeki normal, meşru kod arasına gizlenmiş kötü amaçlı JavaScript kodu kullanılarak gerçekleştirildi. Araştırmacılar, InkySquid ekibinin özel kötü amaçlı kodlarıyla birlikte bir JavaScript kitaplığı olan bPopUp'ı kullandığını öğrendi.

Kötü amaçlı kod, normal web sitesi kodunun parçacıkları arasında çok iyi kamufle edildi ve araştırmacılar, hem otomatik hem de manuel algılamadan kolayca kurtulacağına inanıyorlar. Saldırının kötüye kullandığı Internet Explorer güvenlik açığı, CVE-2020-1380 olarak kodlanmıştır.

Saldırının ayrıntıları söz konusu olduğunda, InkySquid grubu, SVG vektör grafik dosyası etiketlerinde tutulan kodlanmış dizeleri kullandı.

Aynı tehdit aktörü, araştırmacıların Bluelight olarak adlandırdığı yeni bir kötü amaçlı yazılım ailesi de geliştirdi. Bu saldırılarda, Bluelight, SVG etiket dizelerinde depolanan birincil yük ile ikinci aşama yükü olarak hareket eder.

Kötü amaçlı yazılımın komuta ve kontrol altyapısı, Microsoft Graph API ve Google Drive dahil olmak üzere bulut hizmetlerine dayanır.

Neyse ki, Windows sistemlerinin yerleşik tarayıcısına bağlı kalmak isteyenler için Internet Explorer artık büyük ölçüde Edge ile değiştirildiğinden, saldırı çok sayıda kurban üzerinde çalışmayacaktır. Buna rağmen araştırmacılar, kötü niyetli kodun özellikle sulama deliği olarak kullanılan sitede iyi bir şekilde gizlendiğini ve bunun da benzer saldırıları tespit etmeyi çok zorlaştırdığını kaydetti.

Internet Explorer Güvenlik Açıklarını Kötüye Kullanan InkySquid Tehdit Aktörleri Video

İpucu: Sesi AÇIN ve videoyu Tam Ekran modunda izleyin .