InkySquid Nordkoreansk APT utnytter IE Bugs

Et team av forskere som jobber med sikkerhetsfirmaet Volexity oppdaget et vannhullangrep utført av en trusselsaktør kjent som InkySquid. Håndtaket InkySquid tilhører en avansert vedvarende trusselaktør eller APT, som antas å operere utenfor Nord -Korea og ha statlig støtte.

Vannhullangrepet utført av InkySquid, også kjent som APT37, var rettet mot en publikasjon basert i Sør-Korea, som omhandler nyheter og historier relatert til Nord-Korea. Offeret heter Daily NK.

Et vannhullangrep er begrepet som brukes i infosec for en spesiell type angrepsvektor. I et vannhullangrep injiserer trusselaktørene skadelig programvare på et nettsted som ofte brukes av representanter for det tiltenkte målet for angrepet. Når folk som jobber for målorganisasjonen besøker nettstedet, smitter deres personlige systemer av infeksjonen og gir deretter hackerne muligheten til å infiltrere nettverket sitt ytterligere.

Angrepene misbruker en kjent sårbarhet i gamle versjoner av Internet Explorer. Sårbarhetsbetegnelsen er CVE-2020-1380, og den påvirker bare eldre versjoner av Internet Explorer, som nå i stor grad er erstattet med installasjoner av Microsofts Edge-nettleser.

Vannhullangrepet utføres ved hjelp av ondsinnet kode, begravet dypt inne i den legitime koden som nettstedet kjører. I følge Volexity -forskerne gjør dette det svært vanskelig å oppdage skadelig programvare, både for automatiserte skannere og manuell gjenkjenning.

InkySquid -hackerne brukte et JavaScript -bibliotek i tillegg til sin egen ondsinnede kode for å injisere nettstedet med skadelig programvare. Den første nyttelasten er skjult inne i kodede strenger, lagret i kodene til SVG -vektorfiler. Kommando- og kontrollinfrastrukturen som brukes av InkySquid i dette angrepet er helt avhengig av skytjenester.

Bluelight malware-familien som representerer den endelige nyttelasten, skreddersydd av InkySquid, bruker både Microsoft og Google skytjenester og apper som kommando- og kontrollpunkter.

Når skadelig programvare er distribuert, kan den samle inn og eksfiltrere informasjon fra offersystemet, inkludert IP -adresse, hvilken som helst VM -maskin som kjøres, blant annet OS -versjon.

Angrepet er rettet mot avskrevne versjoner av Microsofts IE -nettleser, så det er ikke så farlig som det kan virke ved første øyekast, men det faktum at den ondsinnede koden var gjemt så godt blant vannhulls nettstedets legitime kode, viser at hackerne bak kampanjen har betydelig dyktighet.