InkySquid北朝鮮のAPTがIEのバグを悪用

セキュリティ会社Volexityと協力している研究者のチームは、InkySquidとして知られる脅威アクターによって行われた水飲み場型攻撃を発見しました。ハンドルInkySquidは、高度な持続的脅威アクターまたはAPTに属しており、北朝鮮外で活動し、国家の支援を受けていると考えられています。

InkySquid（別名APT37）が実施した水飲み場型攻撃は、北朝鮮に関連するニュースや記事を扱った韓国を拠点とする出版物を狙ったものでした。犠牲者はデイリーNKと呼ばれています。

水飲み場型攻撃は、infosecで特殊なタイプの攻撃ベクトルに使用される用語です。水飲み場型攻撃では、攻撃者は、攻撃の意図されたターゲットの代表者によって一般的に使用されるWebサイトにマルウェアを注入します。ターゲット組織で働いている人々がWebサイトにアクセスすると、個人のシステムが感染に感染し、ハッカーがネットワークにさらに侵入できるようになります。

この攻撃は、古いバージョンのInternetExplorerの既知の脆弱性を悪用します。この脆弱性の指定はCVE-2020-1380であり、古いバージョンのInternet Explorerにのみ影響します。これは、現在、MicrosoftのEdgeブラウザーのインストールに大部分が置き換えられています。

水飲み場型攻撃は、サイトが実行する正当なコードの奥深くに埋め込まれた悪意のあるコードを使用して実行されます。 Volexityの研究者によると、これにより、自動スキャナーと手動検出の両方でマルウェアを検出することが非常に困難になります。

InkySquidハッカーは、JavaScriptライブラリと独自の悪意のあるコードを使用して、サイトにマルウェアを注入しました。初期ペイロードはエンコードされた文字列内に隠され、SVGベクターファイルのタグに保存されます。この攻撃でInkySquidが使用するコマンドアンドコントロールインフラストラクチャは、完全にクラウドサービスに依存しています。

InkySquidによってカスタムメイドされた最終的なペイロードを表すBluelightマルウェアファミリーは、MicrosoftとGoogleの両方のクラウドサービスとアプリをコマンドアンドコントロールポイントとして使用します。

マルウェアが展開されると、IPアドレス、実行中のVMマシン、OSバージョンなど、被害者のシステムから情報を収集して盗み出すことができます。

この攻撃は、MicrosoftのIEブラウザの減価償却バージョンを対象としているため、一見したほど危険ではありませんが、悪意のあるコードが水飲み場サイトの正当なコードの中に非常によく隠されていたという事実は、ハッカーがキャンペーンにはかなりのスキルがあります。