InkySquid 朝鲜 APT 利用 IE 漏洞
与安全公司 Volexity 合作的一组研究人员发现了由名为 InkySquid 的威胁行为者进行的水坑攻击。句柄 InkySquid 属于高级持续威胁攻击者或 APT,据信该攻击者在朝鲜境外运营并得到国家支持。
InkySquid 发起的水坑攻击,也称为 APT37,目标是韩国的一家出版物,处理与朝鲜有关的新闻和故事。受害者被称为 Daily NK。
水坑攻击是信息安全中用于特殊类型攻击向量的术语。在水坑攻击中,威胁行为者将恶意软件注入攻击目标代表通常使用的网站。当为目标组织工作的人访问该网站时,他们的个人系统会受到感染,然后黑客就有能力进一步渗透到他们的网络中。
这些攻击滥用了旧版 Internet Explorer 中的已知漏洞。该漏洞的名称为 CVE-2020-1380,它只影响旧版本的 Internet Explorer,现在大部分已被 Microsoft Edge 浏览器的安装所取代。
水坑攻击是使用恶意代码进行的,这些代码深埋在网站运行的合法代码中。据 Volexity 研究人员称,这使得自动扫描仪和手动检测都很难检测到恶意软件。
InkySquid 黑客使用 JavaScript 库以及他们自己的恶意代码向网站注入恶意软件。初始有效载荷隐藏在编码字符串中,存储在 SVG 矢量文件的标签中。 InkySquid 在这次攻击中使用的命令和控制基础设施完全依赖于云服务。
代表最终有效载荷的 Bluelight 恶意软件系列由 InkySquid 定制,使用 Microsoft 和 Google 云服务和应用程序作为其命令和控制点。
部署恶意软件后,它可以从受害者系统收集和泄露信息,包括 IP 地址、发现正在运行的任何 VM 机器、操作系统版本等。
此次攻击针对的是微软IE浏览器的折旧版本,所以它并不像乍一看那么危险,但恶意代码隐藏在水坑站点的合法代码中的事实表明,背后的黑客运动有相当的技巧。