La APT norcoreana de InkySquid aprovecha los errores de IE
Un equipo de investigadores que trabaja con la empresa de seguridad Volexity detectó un ataque de abrevadero realizado por un actor de amenazas conocido como InkySquid. El identificador InkySquid pertenece a un actor avanzado de amenazas persistentes o APT, que se cree que opera desde Corea del Norte y tiene respaldo estatal.
El ataque al abrevadero realizado por InkySquid, también conocido como APT37, tenía como objetivo una publicación con sede en Corea del Sur, que trataba de noticias e historias relacionadas con Corea del Norte. La víctima se llama Daily NK.
Un ataque de abrevadero es el término utilizado en la seguridad de información para un tipo especial de vector de ataque. En un ataque de abrevadero, los actores de la amenaza inyectan malware en un sitio web que suelen utilizar los representantes del objetivo previsto del ataque. Cuando las personas que trabajan para la organización de destino visitan el sitio web, sus sistemas personales contraen la infección y luego les dan a los piratas informáticos la capacidad de infiltrarse más en su red.
Los ataques abusan de una vulnerabilidad conocida en versiones antiguas de Internet Explorer. La designación de la vulnerabilidad es CVE-2020-1380 y solo afecta a versiones anteriores de Internet Explorer, que ahora ha sido reemplazada en gran parte por instalaciones del navegador Edge de Microsoft.
El ataque del abrevadero se lleva a cabo utilizando un código malicioso, enterrado en el interior del código legítimo que ejecuta el sitio. Según los investigadores de Volexity, esto dificulta mucho la detección del malware, tanto para los escáneres automáticos como para la detección manual.
Los piratas informáticos de InkySquid utilizaron una biblioteca de JavaScript, así como su propio código malicioso, para inyectar malware en el sitio. La carga útil inicial está oculta dentro de cadenas codificadas, almacenadas en las etiquetas de los archivos vectoriales SVG. La infraestructura de comando y control utilizada por InkySquid en este ataque depende completamente de los servicios en la nube.
La familia de malware Bluelight que representa la carga útil final, hecha a medida por InkySquid, utiliza los servicios y aplicaciones en la nube de Microsoft y Google como puntos de comando y control.
Una vez que se implementa el malware, puede recopilar y filtrar información del sistema de la víctima, incluida la dirección IP, cualquier máquina VM que se encuentre en ejecución, la versión del sistema operativo, entre otros.
El ataque está dirigido contra versiones depreciadas del navegador IE de Microsoft, por lo que no es tan peligroso como podría parecer a primera vista, pero el hecho de que el código malicioso estuviera tan bien escondido entre el código legítimo del sitio de abrevadero muestra que los piratas informáticos detrás del campaña tiene una habilidad considerable.
