InkySquid APT nord-coréen exploite les bogues d'IE

Une équipe de chercheurs travaillant avec la société de sécurité Volexity a repéré une attaque en point d'eau menée par un acteur malveillant connu sous le nom d'InkySquid. La poignée InkySquid appartient à un acteur avancé de la menace persistante ou APT, qui opérerait à partir de la Corée du Nord et aurait le soutien de l'État.

L'attaque au point d'eau menée par InkySquid, également connue sous le nom d'APT37, visait une publication basée en Corée du Sud, traitant d'actualités et d'histoires liées à la Corée du Nord. La victime s'appelle Daily NK.

Une attaque « wateringhole » est le terme utilisé dans infosec pour un type spécial de vecteur d'attaque. Lors d'une attaque de trou d'eau, les acteurs de la menace injectent des logiciels malveillants dans un site Web qui est couramment utilisé par les représentants de la cible de l'attaque. Lorsque des personnes travaillant pour l'organisation cible visitent le site Web, leurs systèmes personnels contractent l'infection et donnent ensuite aux pirates la possibilité d'infiltrer davantage leur réseau.

Les attaques abusent d'une vulnérabilité connue dans les anciennes versions d'Internet Explorer. La désignation de la vulnérabilité est CVE-2020-1380 et elle n'affecte que les anciennes versions d'Internet Explorer, qui a maintenant été en grande partie remplacée par des installations du navigateur Edge de Microsoft.

L'attaque en trou d'eau est effectuée à l'aide d'un code malveillant, enfoui profondément dans le code légitime exécuté par le site. Selon les chercheurs de Volexity, cela rend très difficile la détection du malware, tant pour les scanners automatisés que pour la détection manuelle.

Les pirates InkySquid ont utilisé une bibliothèque JavaScript ainsi que leur propre code malveillant pour injecter des logiciels malveillants sur le site. La charge utile initiale est cachée dans des chaînes encodées, stockées dans les balises des fichiers vectoriels SVG. L'infrastructure de commandement et de contrôle utilisée par InkySquid dans cette attaque repose entièrement sur les services cloud.

La famille de logiciels malveillants Bluelight qui représente la charge utile finale, conçue sur mesure par InkySquid, utilise à la fois les services et les applications cloud de Microsoft et de Google comme points de commande et de contrôle.

Une fois le malware déployé, il peut collecter et exfiltrer des informations du système victime, notamment l'adresse IP, toutes les machines VM en cours d'exécution, la version du système d'exploitation, entre autres.

L'attaque vise les versions dépréciées du navigateur IE de Microsoft, elle n'est donc pas aussi dangereuse qu'il n'y paraît à première vue, mais le fait que le code malveillant était si bien caché parmi le code légitime du site du point d'eau montre que les pirates derrière le campagne ont une habileté considérable.

Par Zaib
August 24, 2021
Computer Security
Français
August 24, 2021
Computer Security

Articles Populaires

Microsoft prévient que les acteurs de la menace soutenus par...

Il y a 4 days

Détection des logiciels malveillants Trojan Al11

Il y a 11 months

Pinaview est une application publicitaire complète

Il y a 10 months

Pop-ups "Votre iCloud est piraté" et "Votre iPhone a été piraté"

Il y a 7 months

Qu'est-ce que Lucky Ransomware ?

Il y a 7 months

Arnaque par e-mail « American Express – Mettez à jour les...

Il y a 6 months
Français
Chargement...

Cyclonis Backup Details & Terms

Le plan Free Basic Cyclonis Backup vous offre 2 Go d'espace de stockage dans le cloud avec toutes les fonctionnalités! Pas de carte de crédit nécessaire. Besoin de plus d'espace de stockage? Achetez un plan Cyclonis Backup plus important dès aujourd'hui! Pour en savoir plus sur nos politiques et nos tarifs, consultez les conditions d'utilisation, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Accueil

Produits

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Assistance

Aide FAQs Downloads Demandes d'informations et Assistance

Société

À propos de nous Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politique de confidentialité Politique de Cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows est une marque de Microsoft, déposée aux États-Unis et dans d'autres pays.
Mac, iPhone, iPad et App Store sont des marques commerciales d'Apple Inc., déposées aux États-Unis et dans d'autres pays.
iOS est une marque déposée de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans certains autres pays.
Android et Google Play sont des marques déposées de Google LLC.