APT norte-coreano do InkySquid explora bugs do IE
Uma equipe de pesquisadores que trabalhava com a empresa de segurança Volexity detectou um ataque watering hole conduzido por um ator de ameaça conhecido como InkySquid. O identificador InkySquid pertence a um ator de ameaça persistente avançado ou APT, que se acredita operar fora da Coreia do Norte e tem o apoio do estado.
O ataque watering hole conduzido por InkySquid, também conhecido como APT37, tinha como objetivo uma publicação com sede na Coreia do Sul, lidando com notícias e histórias relacionadas à Coreia do Norte. A vítima é chamada de Daily NK.
Um ataque watering hole é o termo usado em infosec para um tipo especial de vetor de ataque. Em um ataque watering hole, os atores da ameaça injetam malware em um site que é comumente usado por representantes do alvo pretendido do ataque. Quando as pessoas que trabalham para a organização-alvo visitam o site, seus sistemas pessoais contraem a infecção e dão aos hackers a capacidade de se infiltrar ainda mais em sua rede.
Os ataques abusam de uma vulnerabilidade conhecida em versões antigas do Internet Explorer. A designação da vulnerabilidade é CVE-2020-1380 e afeta apenas as versões mais antigas do Internet Explorer, que agora foi em grande parte substituído por instalações do navegador Edge da Microsoft.
O ataque watering hole é realizado usando código malicioso, enterrado profundamente dentro do código legítimo que o site executa. De acordo com os pesquisadores da Volexity, isso torna muito difícil detectar o malware, tanto para scanners automatizados quanto para detecção manual.
Os hackers InkySquid usaram uma biblioteca JavaScript, bem como seu próprio código malicioso, para injetar malware no site. A carga inicial está oculta dentro de strings codificadas, armazenadas nas tags dos arquivos vetoriais SVG. A infraestrutura de comando e controle usada pelo InkySquid neste ataque depende inteiramente de serviços em nuvem.
A família de malware Bluelight que representa a carga útil final, feita sob medida pela InkySquid, usa os serviços e aplicativos em nuvem da Microsoft e do Google como seus pontos de comando e controle.
Depois que o malware é implantado, ele pode coletar e exfiltrar informações do sistema da vítima, incluindo endereço IP, qualquer máquina VM encontrada em execução, versão do sistema operacional, entre outros.
O ataque visa versões depreciadas do navegador IE da Microsoft, por isso não é tão perigoso quanto pode parecer à primeira vista, mas o fato de o código malicioso ter sido escondido tão bem entre o código legítimo do site watering hole mostra que os hackers por trás do campanha tem habilidade considerável.