InkySquid północnokoreański APT wykorzystuje błędy IE
Zespół badaczy współpracujących z firmą ochroniarską Volexity zauważył atak przy wodopoju przeprowadzony przez cyberprzestępcę znanego jako InkySquid. Uchwyt InkySquid należy do zaawansowanego, trwałego aktora zajmującego się zagrożeniami lub APT, który, jak się uważa, działa poza Koreą Północną i ma wsparcie państwa.
Atak na wodopoju przeprowadzony przez InkySquid, znany również jako APT37, miał na celu publikację z siedzibą w Korei Południowej, zajmującą się wiadomościami i historiami związanymi z Koreą Północną. Ofiara nazywa się Daily NK.
Atak wodopoju to termin używany w infosec dla specjalnego typu wektora ataku. W ataku wodopoju cyberprzestępcy wprowadzają złośliwe oprogramowanie do witryny internetowej, która jest powszechnie używana przez przedstawicieli zamierzonego celu ataku. Gdy osoby pracujące dla organizacji docelowej odwiedzają witrynę, ich systemy osobiste atakują infekcję, a następnie dają hakerom możliwość dalszej infiltracji ich sieci.
Ataki wykorzystują znaną lukę w starszych wersjach Internet Explorera. Oznaczenie luki to CVE-2020-1380 i dotyczy ona tylko starszych wersji Internet Explorera, który został w dużej mierze zastąpiony instalacjami przeglądarki Edge firmy Microsoft.
Atak wodopoju jest przeprowadzany przy użyciu złośliwego kodu ukrytego głęboko w legalnym kodzie uruchamianym przez witrynę. Według badaczy Volexity bardzo utrudnia to wykrycie szkodliwego oprogramowania, zarówno w przypadku automatycznych skanerów, jak i wykrywania ręcznego.
Hakerzy InkySquid wykorzystali bibliotekę JavaScript, a także własny złośliwy kod, aby wstrzyknąć do witryny złośliwe oprogramowanie. Początkowy ładunek jest ukryty w zakodowanych ciągach znaków, przechowywanych w znacznikach plików wektorowych SVG. Infrastruktura dowodzenia i kontroli wykorzystywana przez InkySquid w tym ataku opiera się całkowicie na usługach w chmurze.
Rodzina złośliwego oprogramowania Bluelight, która reprezentuje ostateczny ładunek, stworzony na zamówienie przez InkySquid, wykorzystuje usługi i aplikacje w chmurze firmy Microsoft i Google jako punkty dowodzenia i kontroli.
Po wdrożeniu złośliwe oprogramowanie może zbierać i wydobywać informacje z zaatakowanego systemu, w tym adres IP, wszystkie znalezione maszyny wirtualne, między innymi wersję systemu operacyjnego.
Atak jest wymierzony w zdeprecjonowane wersje przeglądarki IE firmy Microsoft, więc nie jest tak niebezpieczny, jak mogłoby się wydawać na pierwszy rzut oka, ale fakt, że złośliwy kod był tak dobrze ukryty wśród legalnego kodu witryny wodopoju, pokazuje, że hakerzy stojący za kampania ma spore umiejętności.
