InkySquid 朝鮮 APT 利用 IE 漏洞

與安全公司 Volexity 合作的一組研究人員發現了由名為 InkySquid 的威脅行為者進行的水坑攻擊。句柄 InkySquid 屬於高級持續威脅攻擊者或 APT，據信該攻擊者在朝鮮境外運營並得到國家支持。

InkySquid 發起的水坑攻擊，也稱為 APT37，目標是韓國的一家出版物，處理與朝鮮有關的新聞和故事。受害者被稱為 Daily NK。

水坑攻擊是信息安全中用於特殊類型攻擊向量的術語。在水坑攻擊中，威脅行為者將惡意軟件注入攻擊目標代表通常使用的網站。當為目標組織工作的人訪問該網站時，他們的個人系統會受到感染，然後黑客就有能力進一步滲透到他們的網絡中。

這些攻擊濫用了舊版 Internet Explorer 中的已知漏洞。該漏洞的名稱為 CVE-2020-1380，它只影響舊版本的 Internet Explorer，現在大部分已被 Microsoft Edge 瀏覽器的安裝所取代。

水坑攻擊是使用惡意代碼進行的，這些代碼深埋在網站運行的合法代碼中。據 Volexity 研究人員稱，這使得自動掃描儀和手動檢測都很難檢測到惡意軟件。

InkySquid 黑客使用 JavaScript 庫以及他們自己的惡意代碼向網站注入惡意軟件。初始有效載荷隱藏在編碼字符串中，存儲在 SVG 矢量文件的標籤中。 InkySquid 在這次攻擊中使用的命令和控制基礎設施完全依賴於雲服務。

代表最終有效載荷的 Bluelight 惡意軟件系列由 InkySquid 定制，使用 Microsoft 和 Google 雲服務和應用程序作為其命令和控制點。

部署惡意軟件後，它可以從受害者係統收集和洩露信息，包括 IP 地址、發現正在運行的任何 VM 機器、操作系統版本等。

此次攻擊針對的是微軟IE瀏覽器的折舊版本，所以它並不像乍一看那麼危險，但惡意代碼隱藏在水坑站點的合法代碼中的事實表明，背後的黑客運動有相當的技巧。