InkySquid APT nordcoreano sfrutta i bug di IE
Un team di ricercatori che lavorano con la società di sicurezza Volexity ha individuato un attacco di abbeveratoio condotto da un attore di minacce noto come InkySquid. L'handle InkySquid appartiene a un attore di minacce persistenti avanzate o APT, che si ritiene operi fuori dalla Corea del Nord e abbia il sostegno dello stato.
L'attacco alla pozza d'acqua condotto da InkySquid, noto anche come APT37, era rivolto a una pubblicazione con sede in Corea del Sud, che si occupava di notizie e storie relative alla Corea del Nord. La vittima si chiama Daily NK.
Un attacco watering-hole è il termine usato in infosec per un tipo speciale di vettore di attacco. In un attacco watering hole, gli autori delle minacce iniettano malware in un sito Web comunemente utilizzato dai rappresentanti del target previsto dell'attacco. Quando le persone che lavorano per l'organizzazione di destinazione visitano il sito Web, i loro sistemi personali contraggono l'infezione e quindi danno agli hacker la possibilità di infiltrarsi ulteriormente nella loro rete.
Gli attacchi abusano di una vulnerabilità nota nelle vecchie versioni di Internet Explorer. La designazione della vulnerabilità è CVE-2020-1380 e riguarda solo le versioni precedenti di Internet Explorer, che ora è stata in gran parte sostituita con installazioni del browser Edge di Microsoft.
L'attacco watering-hole viene effettuato utilizzando codice dannoso, sepolto in profondità all'interno del codice legittimo eseguito dal sito. Secondo i ricercatori di Volexity, questo rende molto difficile rilevare il malware, sia per gli scanner automatici che per il rilevamento manuale.
Gli hacker di InkySquid hanno utilizzato una libreria JavaScript e il proprio codice dannoso per iniettare malware nel sito. Il payload iniziale è nascosto all'interno di stringhe codificate, memorizzate nei tag dei file vettoriali SVG. L'infrastruttura di comando e controllo utilizzata da InkySquid in questo attacco si basa interamente sui servizi cloud.
La famiglia di malware Bluelight che rappresenta il payload finale, realizzata su misura da InkySquid, utilizza i servizi e le app cloud di Microsoft e Google come punti di comando e controllo.
Una volta che il malware è stato distribuito, può raccogliere ed estrarre informazioni dal sistema vittima, incluso l'indirizzo IP, qualsiasi macchina VM trovata in esecuzione, la versione del sistema operativo tra le altre.
L'attacco è diretto contro le versioni obsolete del browser IE di Microsoft, quindi non è così pericoloso come potrebbe sembrare a prima vista, ma il fatto che il codice dannoso sia stato nascosto così bene tra il codice legittimo del sito di watering hole dimostra che gli hacker dietro il campagna hanno una notevole abilità.