Computer Security InkySquid 威胁攻击者滥用 Internet Explorer 漏洞

InkySquid 威胁攻击者滥用 Internet Explorer 漏洞

安全研究人员发现了一个新的威胁活动,似乎是由被认为是由国家资助的朝鲜威胁行为者APT37或 InkySquid 发起的。该活动的目标是使用信息安全所谓的"水坑攻击"的韩国报纸。

水坑攻击基于观察或良好的猜测。威胁行为者要么跟踪公司员工常用的网站或在线服务,要么对其进行有根据的猜测,然后用恶意软件感染目标网站。像往常一样访问该网站后,受害者的员工最终会感染恶意软件。

对这种特定攻击的研究是由与安全公司 Volexity 合作的团队进行的。该团队发现了加载到 Daily NK 网站的可疑代码,这是一家韩国新闻网站,主要处理与该国北部邻国有关的新闻。

攻击是使用隐藏在网站上常规合法代码中的恶意 JavaScript 代码进行的。研究人员发现 InkySquid 团队使用了 bPopUp——一个 JavaScript 库,以及他们自定义的恶意代码。

恶意代码很好地伪装在常规网站代码片段之间,研究人员认为它可以轻松避开自动和手动检测。攻击滥用的 Internet Explorer 漏洞编码为 CVE-2020-1380。

在谈到攻击的细节时,InkySquid 小组使用了保存在 SVG 矢量图形文件标签中的编码字符串。

同一威胁行为者还开发了一个新的恶意软件系列,研究人员将其称为 Bluelight。在这些攻击中,Bluelight 充当第二阶段有效载荷,主要有效载荷存储在 SVG 标签字符串中。

该恶意软件的命令和控制基础设施依赖于云服务,包括 Microsoft Graph API 和 Google Drive。

值得庆幸的是,对于那些想要坚持使用 Windows 系统内置浏览器的人来说,Internet Explorer 现在基本上被 Edge 取代,这种攻击不会对大量受害者起作用。尽管如此,研究人员指出,恶意代码在用作水坑的站点上隐藏得特别好,这使得很难发现类似的攻击。

InkySquid 威胁攻击者滥用 Internet Explorer 漏洞视频

提示:把你的声音并观察在全屏模式下的视频

正在加载...