InkySquid nordkoreanske APT udnytter IE -fejl
Et team af forskere, der arbejdede med sikkerhedsfirmaet Volexity, fik øje på et vandhulsangreb udført af en trusselsaktør kendt som InkySquid. Håndtaget InkySquid tilhører en avanceret vedvarende trusselsaktør eller APT, som menes at operere ud af Nordkorea og have statsstøtte.
Vandhulsangrebet udført af InkySquid, også kendt som APT37, var rettet mod en publikation baseret i Sydkorea, der beskæftiger sig med nyheder og historier relateret til Nordkorea. Offeret hedder Daily NK.
Et vandhulsangreb er udtrykket, der bruges i infosec for en særlig type angrebsvektor. I et vandhulsangreb injicerer trusselsaktørerne malware på et websted, der almindeligvis bruges af repræsentanter for det tilsigtede mål for angrebet. Når mennesker, der arbejder for målorganisationen, besøger webstedet, smitter deres personlige systemer af infektionen og giver derefter hackerne mulighed for yderligere at infiltrere deres netværk.
Angrebene misbruger en kendt sårbarhed i gamle versioner af Internet Explorer. Sårbarhedens betegnelse er CVE-2020-1380, og den påvirker kun ældre versioner af Internet Explorer, som nu for en stor del er blevet erstattet med installationer af Microsofts Edge-browser.
Vandingsangrebet udføres ved hjælp af ondsindet kode, begravet dybt inde i den legitime kode, som webstedet kører. Ifølge Volexity -forskerne gør dette det meget svært at opdage malware, både for automatiserede scannere og manuel registrering.
InkySquid -hackerne brugte et JavaScript -bibliotek samt deres egen ondsindede kode til at injicere webstedet malware. Den indledende nyttelast er skjult inde i kodede strenge, gemt i tags af SVG -vektorfiler. Kommando- og kontrolinfrastrukturen, der bruges af InkySquid i dette angreb, er helt afhængig af cloud -tjenester.
Bluelight-malwarefamilien, der repræsenterer den endelige nyttelast, skræddersyet af InkySquid, bruger både Microsoft og Google cloud-tjenester og apps som kommando- og kontrolpunkter.
Når malware er implementeret, kan den indsamle og eksfiltrere oplysninger fra offersystemet, herunder IP -adresse, alle VM -maskiner, der findes kørende, OS -version blandt andre.
Angrebet er rettet mod afskrevne versioner af Microsofts IE -browser, så det er ikke så farligt, som det kan virke ved første øjekast, men det faktum, at den ondsindede kode var skjult så godt blandt vandhullets websteds legitime kode, viser, at hackerne bag kampagne har betydelig dygtighed.
