InkySquid 威脅攻擊者濫用 Internet Explorer 漏洞

安全研究人員發現了一個新的威脅活動，似乎是由被認為是由國家資助的朝鮮威脅行為者APT37或 InkySquid 發起的。該活動的目標是使用信息安全所謂的"水坑攻擊"的韓國報紙。

水坑攻擊基於觀察或良好的猜測。威脅行為者要么跟踪公司員工常用的網站或在線服務，要么對其進行有根據的猜測，然後用惡意軟件感染目標網站。像往常一樣訪問該網站後，受害者的員工最終會感染惡意軟件。

對這種特定攻擊的研究是由與安全公司 Volexity 合作的團隊進行的。該團隊發現了加載到 Daily NK 網站的可疑代碼，這是一家韓國新聞網站，主要處理與該國北部鄰國有關的新聞。

攻擊是使用隱藏在網站上常規合法代碼中的惡意 JavaScript 代碼進行的。研究人員發現 InkySquid 團隊使用了 bPopUp——一個 JavaScript 庫，以及他們自定義的惡意代碼。

惡意代碼很好地偽裝在常規網站代碼片段之間，研究人員認為它可以輕鬆避開自動和手動檢測。攻擊濫用的 Internet Explorer 漏洞編碼為 CVE-2020-1380。

在談到攻擊的細節時，InkySquid 小組使用了保存在 SVG 矢量圖形文件標籤中的編碼字符串。

同一威脅行為者還開發了一個新的惡意軟件系列，研究人員將其稱為 Bluelight。在這些攻擊中，Bluelight 充當第二階段有效載荷，主要有效載荷存儲在 SVG 標籤字符串中。

該惡意軟件的命令和控制基礎設施依賴於雲服務，包括 Microsoft Graph API 和 Google Drive。

值得慶幸的是，對於那些想要堅持使用 Windows 系統內置瀏覽器的人來說，Internet Explorer 現在基本上被 Edge 取代，這種攻擊不會對大量受害者起作用。儘管如此，研究人員指出，惡意代碼在用作水坑的網站上隱藏得特別好，這使得類似的攻擊很難被發現。

InkySquid 威脅攻擊者濫用 Internet Explorer 漏洞視頻

提示：把你的声音并观察在全屏模式下的视频。