Az InkySquid észak -koreai APT kihasználja az IE hibákat
A Volexity biztonsági céggel dolgozó kutatócsoport észlelt egy öntözőlyuk-támadást, amelyet az InkySquid néven ismert fenyegetőszereplő hajtott végre. Az InkySquid fogantyú egy fejlett, állandó fenyegetésszereplőhöz vagy APT -hez tartozik, amelyről úgy gondolják, hogy Észak -Koreából működik, és állami támogatással rendelkezik.
Az InkySquid, más néven APT37 nevű öntözőlyuk elleni támadása egy dél-koreai székhelyű kiadványra irányult, amely Észak-Koreával kapcsolatos hírekkel és történetekkel foglalkozik. Az áldozatot Daily NK -nak hívják.
Az öntözőlyuk-támadás az infosec-ben használt kifejezés egy speciális támadási vektorra. Egy öntözőlyuk -támadásban a fenyegetés szereplői rosszindulatú programokat fecskendeznek be egy olyan webhelyre, amelyet a támadás célpontjának képviselői általában használnak. Amikor a célszervezetnél dolgozó emberek meglátogatják a webhelyet, személyes rendszereik fertőzik a fertőzést, majd lehetőséget adnak a hackereknek arra, hogy tovább szivárogjanak a hálózatukba.
A támadások visszaélnek egy ismert sebezhetőséggel az Internet Explorer régi verzióiban. A biztonsági rést CVE-2020-1380 jelzi, és csak az Internet Explorer régebbi verzióit érinti, amelyet most nagyrészt a Microsoft Edge böngészőjének telepítései váltottak fel.
Az öntözőlyuk elleni támadást rosszindulatú kód használatával hajtják végre, amely a webhely által futtatott törvényes kód mélyére van eltemetve. A Volexity kutatói szerint ez nagyon megnehezíti a rosszindulatú programok észlelését, mind az automatizált szkennerek, mind a kézi észlelés esetében.
Az InkySquid hackerek JavaScript -könyvtárat és saját rosszindulatú kódjukat használták, hogy rosszindulatú programokat juttassanak a webhelyre. A kezdeti hasznos terhelés rejtett kódolt karakterláncokba kerül, és SVG vektorfájlok címkéiben tárolódik. Az InkySquid által a támadásban használt parancsnoki és vezérlő infrastruktúra teljes mértékben a felhőszolgáltatásokon alapul.
Az InkySquid által készített Bluelight malware család, amely a végső hasznos terhet képviseli, a Microsoft és a Google felhőszolgáltatásait és -alkalmazásait egyaránt használja parancs- és vezérlőpontként.
A rosszindulatú program telepítése után információkat gyűjthet és kiszűrhet az áldozatrendszerből, beleértve az IP -címet, minden futó virtuális gépet, az operációs rendszer verzióját.
A támadás a Microsoft IE böngészőjének leértékelt verziói ellen irányul, tehát nem olyan veszélyes, mint amilyennek első pillantásra tűnhet, de az a tény, hogy a rosszindulatú kód olyan jól el volt rejtve az öntözőlyuk webhely jogos kódja között, azt mutatja, hogy a hackerek a a kampány jelentős készségekkel rendelkezik.