Az InkySquid észak -koreai APT kihasználja az IE hibákat

A Volexity biztonsági céggel dolgozó kutatócsoport észlelt egy öntözőlyuk-támadást, amelyet az InkySquid néven ismert fenyegetőszereplő hajtott végre. Az InkySquid fogantyú egy fejlett, állandó fenyegetésszereplőhöz vagy APT -hez tartozik, amelyről úgy gondolják, hogy Észak -Koreából működik, és állami támogatással rendelkezik.

Az InkySquid, más néven APT37 nevű öntözőlyuk elleni támadása egy dél-koreai székhelyű kiadványra irányult, amely Észak-Koreával kapcsolatos hírekkel és történetekkel foglalkozik. Az áldozatot Daily NK -nak hívják.

Az öntözőlyuk-támadás az infosec-ben használt kifejezés egy speciális támadási vektorra. Egy öntözőlyuk -támadásban a fenyegetés szereplői rosszindulatú programokat fecskendeznek be egy olyan webhelyre, amelyet a támadás célpontjának képviselői általában használnak. Amikor a célszervezetnél dolgozó emberek meglátogatják a webhelyet, személyes rendszereik fertőzik a fertőzést, majd lehetőséget adnak a hackereknek arra, hogy tovább szivárogjanak a hálózatukba.

A támadások visszaélnek egy ismert sebezhetőséggel az Internet Explorer régi verzióiban. A biztonsági rést CVE-2020-1380 jelzi, és csak az Internet Explorer régebbi verzióit érinti, amelyet most nagyrészt a Microsoft Edge böngészőjének telepítései váltottak fel.

Az öntözőlyuk elleni támadást rosszindulatú kód használatával hajtják végre, amely a webhely által futtatott törvényes kód mélyére van eltemetve. A Volexity kutatói szerint ez nagyon megnehezíti a rosszindulatú programok észlelését, mind az automatizált szkennerek, mind a kézi észlelés esetében.

Az InkySquid hackerek JavaScript -könyvtárat és saját rosszindulatú kódjukat használták, hogy rosszindulatú programokat juttassanak a webhelyre. A kezdeti hasznos terhelés rejtett kódolt karakterláncokba kerül, és SVG vektorfájlok címkéiben tárolódik. Az InkySquid által a támadásban használt parancsnoki és vezérlő infrastruktúra teljes mértékben a felhőszolgáltatásokon alapul.

Az InkySquid által készített Bluelight malware család, amely a végső hasznos terhet képviseli, a Microsoft és a Google felhőszolgáltatásait és -alkalmazásait egyaránt használja parancs- és vezérlőpontként.

A rosszindulatú program telepítése után információkat gyűjthet és kiszűrhet az áldozatrendszerből, beleértve az IP -címet, minden futó virtuális gépet, az operációs rendszer verzióját.

A támadás a Microsoft IE böngészőjének leértékelt verziói ellen irányul, tehát nem olyan veszélyes, mint amilyennek első pillantásra tűnhet, de az a tény, hogy a rosszindulatú kód olyan jól el volt rejtve az öntözőlyuk webhely jogos kódja között, azt mutatja, hogy a hackerek a a kampány jelentős készségekkel rendelkezik.