InkySquid 朝鮮 APT 利用 IE 漏洞
與安全公司 Volexity 合作的一組研究人員發現了由名為 InkySquid 的威脅行為者進行的水坑攻擊。句柄 InkySquid 屬於高級持續威脅攻擊者或 APT,據信該攻擊者在朝鮮境外運營並得到國家支持。
InkySquid 發起的水坑攻擊,也稱為 APT37,目標是韓國的一家出版物,處理與朝鮮有關的新聞和故事。受害者被稱為 Daily NK。
水坑攻擊是信息安全中用於特殊類型攻擊向量的術語。在水坑攻擊中,威脅行為者將惡意軟件注入攻擊目標代表通常使用的網站。當為目標組織工作的人訪問該網站時,他們的個人系統會受到感染,然後黑客就有能力進一步滲透到他們的網絡中。
這些攻擊濫用了舊版 Internet Explorer 中的已知漏洞。該漏洞的名稱為 CVE-2020-1380,它只影響舊版本的 Internet Explorer,現在大部分已被 Microsoft Edge 瀏覽器的安裝所取代。
水坑攻擊是使用惡意代碼進行的,這些代碼深埋在網站運行的合法代碼中。據 Volexity 研究人員稱,這使得自動掃描儀和手動檢測都很難檢測到惡意軟件。
InkySquid 黑客使用 JavaScript 庫以及他們自己的惡意代碼向網站注入惡意軟件。初始有效載荷隱藏在編碼字符串中,存儲在 SVG 矢量文件的標籤中。 InkySquid 在這次攻擊中使用的命令和控制基礎設施完全依賴於雲服務。
代表最終有效載荷的 Bluelight 惡意軟件系列由 InkySquid 定制,使用 Microsoft 和 Google 雲服務和應用程序作為其命令和控制點。
部署惡意軟件後,它可以從受害者係統收集和洩露信息,包括 IP 地址、發現正在運行的任何 VM 機器、操作系統版本等。
此次攻擊針對的是微軟IE瀏覽器的折舊版本,所以它並不像乍一看那麼危險,但惡意代碼隱藏在水坑站點的合法代碼中的事實表明,背後的黑客運動有相當的技巧。