InkySquid 朝鲜 APT 利用 IE 漏洞

与安全公司 Volexity 合作的一组研究人员发现了由名为 InkySquid 的威胁行为者进行的水坑攻击。句柄 InkySquid 属于高级持续威胁攻击者或 APT，据信该攻击者在朝鲜境外运营并得到国家支持。

InkySquid 发起的水坑攻击，也称为 APT37，目标是韩国的一家出版物，处理与朝鲜有关的新闻和故事。受害者被称为 Daily NK。

水坑攻击是信息安全中用于特殊类型攻击向量的术语。在水坑攻击中，威胁行为者将恶意软件注入攻击目标代表通常使用的网站。当为目标组织工作的人访问该网站时，他们的个人系统会受到感染，然后黑客就有能力进一步渗透到他们的网络中。

这些攻击滥用了旧版 Internet Explorer 中的已知漏洞。该漏洞的名称为 CVE-2020-1380，它只影响旧版本的 Internet Explorer，现在大部分已被 Microsoft Edge 浏览器的安装所取代。

水坑攻击是使用恶意代码进行的，这些代码深埋在网站运行的合法代码中。据 Volexity 研究人员称，这使得自动扫描仪和手动检测都很难检测到恶意软件。

InkySquid 黑客使用 JavaScript 库以及他们自己的恶意代码向网站注入恶意软件。初始有效载荷隐藏在编码字符串中，存储在 SVG 矢量文件的标签中。 InkySquid 在这次攻击中使用的命令和控制基础设施完全依赖于云服务。

代表最终有效载荷的 Bluelight 恶意软件系列由 InkySquid 定制，使用 Microsoft 和 Google 云服务和应用程序作为其命令和控制点。

部署恶意软件后，它可以从受害者系统收集和泄露信息，包括 IP 地址、发现正在运行的任何 VM 机器、操作系统版本等。

此次攻击针对的是微软IE浏览器的折旧版本，所以它并不像乍一看那么危险，但恶意代码隐藏在水坑站点的合法代码中的事实表明，背后的黑客运动有相当的技巧。