InkySquid Noord-Koreaanse APT maakt misbruik van IE-bugs
Een team van onderzoekers dat samenwerkt met beveiligingsbedrijf Volexity zag een watering-hole-aanval uitgevoerd door een dreigingsactor die bekend staat als InkySquid. Het handvat InkySquid is van een geavanceerde persistent threat actor of APT, waarvan wordt aangenomen dat deze vanuit Noord-Korea opereert en door de staat wordt gesteund.
De watering-hole-aanval uitgevoerd door InkySquid, ook bekend als APT37, was gericht op een publicatie in Zuid-Korea, die nieuws en verhalen met betrekking tot Noord-Korea behandelde. Het slachtoffer heet Daily NK.
Een watering-hole-aanval is de term die in infosec wordt gebruikt voor een speciaal type aanvalsvector. Bij een watering hole-aanval injecteren de bedreigingsactoren malware op een website die vaak wordt gebruikt door vertegenwoordigers van het beoogde doelwit van de aanval. Wanneer mensen die voor de doelorganisatie werken de website bezoeken, trekken hun persoonlijke systemen de infectie op en geven ze de hackers de mogelijkheid om verder te infiltreren in hun netwerk.
De aanvallen maken misbruik van een bekende kwetsbaarheid in oude versies van Internet Explorer. De aanduiding van de kwetsbaarheid is CVE-2020-1380 en heeft alleen betrekking op oudere versies van Internet Explorer, die nu grotendeels is vervangen door installaties van Microsoft's Edge-browser.
De watering-hole-aanval wordt uitgevoerd met behulp van kwaadaardige code, diep begraven in de legitieme code die de site uitvoert. Volgens de Volexity-onderzoekers maakt dit het erg moeilijk om de malware te detecteren, zowel voor geautomatiseerde scanners als voor handmatige detectie.
De InkySquid-hackers gebruikten een JavaScript-bibliotheek en hun eigen kwaadaardige code om de site te injecteren met malware. De initiële payload is verborgen in gecodeerde strings, opgeslagen in de tags van SVG-vectorbestanden. De command-and-control-infrastructuur die InkySquid bij deze aanval gebruikt, is volledig afhankelijk van cloudservices.
De Bluelight-malwarefamilie die de uiteindelijke payload vertegenwoordigt, op maat gemaakt door InkySquid, gebruikt zowel cloudservices en apps van Microsoft als Google als commando- en controlepunten.
Zodra de malware is geïmplementeerd, kan het informatie van het slachtoffersysteem verzamelen en exfiltreren, waaronder het IP-adres, alle VM-machines die worden aangetroffen, onder andere de versie van het besturingssysteem.
De aanval is gericht op afgeschreven versies van de IE-browser van Microsoft, dus het is niet zo gevaarlijk als het op het eerste gezicht lijkt, maar het feit dat de kwaadaardige code zo goed verborgen was tussen de legitieme code van de wateringhole-site, toont aan dat de hackers achter de campagne hebben aanzienlijke vaardigheid.