„InkySquid“ Šiaurės Korėjos APT išnaudoja IE klaidas

Mokslininkų komanda, dirbanti su saugumo įmone „Volexity“, pastebėjo laistymo angos ataką, kurią atliko grėsmės veikėjas, žinomas kaip „InkySquid“. Rankena „InkySquid“ priklauso pažengusiam nuolatinės grėsmės veikėjui arba APT, kuris, kaip manoma, veikia iš Šiaurės Korėjos ir yra remiamas valstybės.

„InkySquid“, dar žinomo kaip APT37, įvykdyta laistymo angos ataka buvo skirta Pietų Korėjoje įsikūrusiam leidiniui, kuriame nagrinėjamos su Šiaurės Korėja susijusios naujienos ir istorijos. Auka vadinama „Daily NK“.

Laistymo angos ataka yra terminas, naudojamas „infosec“ specialiam atakos vektoriaus tipui. Vandens skylės atakos metu grėsmės veikėjai į svetainę įleidžia kenkėjišką programinę įrangą, kuria dažniausiai naudojasi numatomo išpuolio tikslo atstovai. Kai tikslinėje organizacijoje dirbantys žmonės apsilanko svetainėje, jų asmeninės sistemos užsikrečia infekcija ir tada suteikia įsilaužėliams galimybę dar labiau įsiskverbti į jų tinklą.

Išpuoliais piktnaudžiaujama senų „Internet Explorer“ versijų pažeidžiamumu. Pažeidimo pavadinimas yra CVE-2020-1380 ir jis veikia tik senesnes „Internet Explorer“ versijas, kurios dabar buvo iš esmės pakeistos „Microsoft Edge“ naršyklės diegimais.

Laistymo angos ataka vykdoma naudojant kenkėjišką kodą, palaidotą giliai į teisėtą svetainės vykdomą kodą. Pasak „Volexity“ tyrinėtojų, tai labai apsunkina kenkėjiškų programų aptikimą tiek automatiniams skaitytuvams, tiek rankiniam aptikimui.

„InkySquid“ įsilaužėliai naudojo „JavaScript“ biblioteką ir savo kenkėjišką kodą, kad į svetainę įterptų kenkėjiškų programų. Pradinė apkrova yra paslėpta užkoduotose eilutėse, saugoma SVG vektorinių failų žymose. „InkySquid“ šiai atakai naudojama valdymo ir valdymo infrastruktūra visiškai priklauso nuo debesies paslaugų.

„Bluelight“ kenkėjiškų programų šeima, atstovaujanti galutinį naudingąjį krovinį, pagal užsakymą pagaminta pagal „InkySquid“, naudoja „Microsoft“ ir „Google“ debesies paslaugas bei programas kaip savo valdymo ir valdymo taškus.

Kai kenkėjiška programa bus įdiegta, ji gali surinkti ir išfiltruoti informaciją iš aukų sistemos, įskaitant IP adresą, visas veikiančias VM mašinas ir OS versiją.

Ataka skirta nusidėvėjusioms „Microsoft“ IE naršyklės versijoms, todėl ji nėra tokia pavojinga, kaip gali pasirodyti iš pirmo žvilgsnio, tačiau faktas, kad kenkėjiškas kodas buvo taip gerai paslėptas tarp laistymo skylių svetainės teisėto kodo, rodo, kad įsilaužėliai už kampanija turi daug įgūdžių.