Το InkySquid της Βόρειας Κορέας APT εκμεταλλεύεται σφάλματα IE

Μια ομάδα ερευνητών που συνεργάστηκε με την εταιρεία ασφαλείας Volexity εντόπισε μια επίθεση με τρύπες που πραγματοποιήθηκε από έναν ηθοποιό απειλής, γνωστό ως InkySquid. Η λαβή InkySquid ανήκει σε έναν προηγμένο επίμονο ηθοποιό απειλών ή APT, ο οποίος πιστεύεται ότι λειτουργεί εκτός Βόρειας Κορέας και έχει κρατική υποστήριξη.

Η επίθεση που έγινε από την InkySquid, γνωστή και ως APT37, είχε ως στόχο μια δημοσίευση που εδρεύει στη Νότια Κορέα, η οποία ασχολείται με ειδήσεις και ιστορίες που σχετίζονται με τη Βόρεια Κορέα. Το θύμα ονομάζεται Daily NK.

Η επίθεση τρύπας ποτίσματος είναι ο όρος που χρησιμοποιείται στο infosec για έναν ειδικό τύπο διανύσματος επίθεσης. Σε μια επίθεση με τρύπες, οι φορείς απειλής εισάγουν κακόβουλο λογισμικό σε έναν ιστότοπο που χρησιμοποιείται συνήθως από εκπροσώπους του επιδιωκόμενου στόχου της επίθεσης. Όταν οι άνθρωποι που εργάζονται για τον οργανισμό -στόχο επισκέπτονται τον ιστότοπο, τα προσωπικά τους συστήματα προσβάλλουν τη μόλυνση και στη συνέχεια δίνουν τη δυνατότητα στους χάκερ να διεισδύσουν περαιτέρω στο δίκτυό τους.

Οι επιθέσεις καταχρώνται μια γνωστή ευπάθεια σε παλιές εκδόσεις του Internet Explorer. Ο χαρακτηρισμός της ευπάθειας είναι CVE-2020-1380 και επηρεάζει μόνο παλαιότερες εκδόσεις του Internet Explorer, ο οποίος έχει πλέον αντικατασταθεί σε μεγάλο βαθμό με εγκαταστάσεις του προγράμματος περιήγησης Edge της Microsoft.

Η επίθεση της τρύπας ποτίσματος πραγματοποιείται χρησιμοποιώντας κακόβουλο κώδικα, χωμένο βαθιά μέσα στον νόμιμο κώδικα που εκτελεί ο ιστότοπος. Σύμφωνα με τους ερευνητές του Volexity, αυτό καθιστά πολύ δύσκολο τον εντοπισμό του κακόβουλου λογισμικού, τόσο για αυτοματοποιημένους σαρωτές όσο και για χειροκίνητη ανίχνευση.

Οι χάκερ του InkySquid χρησιμοποίησαν μια βιβλιοθήκη JavaScript καθώς και τον δικό τους κακόβουλο κώδικα για να εγχύσουν τον ιστότοπο με κακόβουλο λογισμικό. Το αρχικό ωφέλιμο φορτίο είναι κρυμμένο μέσα σε κωδικοποιημένες συμβολοσειρές, αποθηκευμένες στις ετικέτες των διανυσματικών αρχείων SVG. Η υποδομή εντολών και ελέγχου που χρησιμοποιείται από το InkySquid σε αυτήν την επίθεση βασίζεται εξ ολοκλήρου σε υπηρεσίες cloud.

Η οικογένεια κακόβουλου λογισμικού Bluelight που αντιπροσωπεύει το τελικό ωφέλιμο φορτίο, προσαρμοσμένο από το InkySquid, χρησιμοποιεί τόσο τις υπηρεσίες όσο και τις εφαρμογές cloud της Microsoft και της Google ως σημεία εντολών και ελέγχου.

Μόλις αναπτυχθεί το κακόβουλο λογισμικό, μπορεί να συλλέξει και να αφαιρέσει πληροφορίες από το σύστημα θύματος, συμπεριλαμβανομένης της διεύθυνσης IP, τυχόν μηχανών VM που βρέθηκαν σε λειτουργία, έκδοσης λειτουργικού συστήματος μεταξύ άλλων.

Η επίθεση απευθύνεται σε υποτιμημένες εκδόσεις του προγράμματος περιήγησης IE της Microsoft, επομένως δεν είναι τόσο επικίνδυνο όσο φαίνεται με την πρώτη ματιά, αλλά το γεγονός ότι ο κακόβουλος κώδικας ήταν τόσο καλά κρυμμένος ανάμεσα στον νόμιμο κώδικα του ιστότοπου ποτίσματος δείχνει ότι οι χάκερ πίσω από εκστρατεία έχουν σημαντική ικανότητα.