InkySquid North Korean APT использует ошибки IE

Команда исследователей, работающая с охранной фирмой Volexity, обнаружила водянистую атаку, проведенную злоумышленником, известным как InkySquid. Дескриптор InkySquid принадлежит продвинутому постоянному злоумышленнику или APT, который, как считается, действует за пределами Северной Кореи и пользуется поддержкой государства.

Атака wateringhole, проведенная InkySquid, также известная как APT37, была нацелена на южнокорейское издание, посвященное новостям и историям, связанным с Северной Кореей. Имя жертвы - Daily NK.

Атака «водопой» - это термин, используемый в информационной безопасности для обозначения вектора атаки особого типа. При атаке watering hole злоумышленники внедряют вредоносное ПО на веб-сайт, который обычно используется представителями предполагаемой цели атаки. Когда люди, работающие в целевой организации, посещают веб-сайт, их личные системы заражаются, а затем дают хакерам возможность проникнуть в их сеть.

Атаки используют известную уязвимость в старых версиях Internet Explorer. Обозначение уязвимости - CVE-2020-1380, и она затрагивает только старые версии Internet Explorer, которые теперь в значительной степени заменены установками браузера Microsoft Edge.

Атака wateringhole осуществляется с использованием вредоносного кода, скрытого глубоко внутри легитимного кода, который запускает сайт. По словам исследователей Volexity, это очень затрудняет обнаружение вредоносного ПО как для автоматических сканеров, так и для ручного обнаружения.

Хакеры InkySquid использовали библиотеку JavaScript, а также свой собственный вредоносный код, чтобы внедрить на сайт вредоносное ПО. Начальная полезная нагрузка скрыта внутри закодированных строк, хранящихся в тегах векторных файлов SVG. Инфраструктура управления и контроля, используемая InkySquid в этой атаке, полностью зависит от облачных сервисов.

Семейство вредоносных программ Bluelight, представляющее собой конечную полезную нагрузку, созданную на заказ InkySquid, использует облачные сервисы и приложения Microsoft и Google в качестве точек управления и контроля.

После развертывания вредоносного ПО оно может собирать и извлекать информацию из системы-жертвы, включая IP-адрес, любые обнаруженные запущенные виртуальные машины, версию ОС и многое другое.

Атака нацелена на устаревшие версии браузера Microsoft IE, поэтому она не так опасна, как может показаться на первый взгляд, но тот факт, что вредоносный код был так хорошо спрятан среди законного кода сайта водопоя, показывает, что хакеры, стоящие за кампании обладают значительным мастерством.