InkySquid Threat Actor missbraucht Internet Explorer-Sicherheitslücken

Sicherheitsforscher haben eine neue Bedrohungskampagne entdeckt, die anscheinend von einem staatlich geförderten nordkoreanischen Bedrohungsakteur namens APT37 oder InkySquid betrieben wird. Die Kampagne zielt auf eine südkoreanische Zeitung ab, die von infosec als "Wasserloch-Attacke" bezeichnet wird.

Watering-Hole-Angriffe basieren auf Beobachtungen oder guten Vermutungen. Bedrohungsakteure verfolgen entweder eine Website oder einen Onlinedienst, der häufig von den Mitarbeitern eines Unternehmens verwendet wird, oder machen eine fundierte Vermutung und infizieren dann die Zielwebsite mit Malware. Beim normalen Besuch der Website werden die Mitarbeiter des Opfers schließlich mit der Malware infiziert.

Die Recherche zu diesem speziellen Angriff wurde von einem Team durchgeführt, das mit der Sicherheitsfirma Volexity zusammenarbeitet. Das Team entdeckte das Auftauchen von verdächtigem Code, der in die Website von Daily NK geladen wurde – einer südkoreanischen Nachrichtenseite, die sich hauptsächlich mit Nachrichten über den nördlichen Nachbarn des Landes befasst.

Der Angriff wurde mit bösartigem JavaScript-Code ausgeführt, der unter regulärem, legitimem Code auf der Website versteckt war. Die Forscher fanden heraus, dass das InkySquid-Team bPopUp – eine JavaScript-Bibliothek – zusammen mit ihrem benutzerdefinierten Schadcode verwendet.

Der bösartige Code war sehr gut zwischen Schnipseln des regulären Website-Codes getarnt und Forscher glauben, dass er sowohl der automatischen als auch der manuellen Erkennung leicht ausweichen könnte. Die Sicherheitslücke im Internet Explorer, die der Angriff missbraucht, ist als CVE-2020-1380 kodifiziert.

In Bezug auf die Einzelheiten des Angriffs verwendete die InkySquid-Gruppe codierte Zeichenfolgen, die in SVG-Vektorgrafikdatei-Tags aufbewahrt wurden.

Der gleiche Bedrohungsakteur hat auch eine neue Familie von Malware entwickelt, die Forscher Bluelight genannt haben. Bei diesen Angriffen fungiert Bluelight als Nutzlast der zweiten Stufe, wobei die primäre Nutzlast in den SVG-Tag-Strings gespeichert wird.

Die Befehls- und Kontrollinfrastruktur der Malware basiert auf Cloud-Diensten, einschließlich Microsoft Graph API und Google Drive.

Zum Glück wird der Angriff bei einer großen Anzahl von Opfern nicht funktionieren, da Internet Explorer jetzt weitgehend durch Edge für diejenigen ersetzt wird, die beim integrierten Browser ihres Windows-Systems bleiben möchten. Trotzdem stellten die Forscher fest, dass der bösartige Code auf der als Wasserstelle verwendeten Website besonders gut versteckt war, wodurch ähnliche Angriffe sehr schwer zu erkennen sind.

InkySquid Threat Actor missbraucht Internet Explorer-Sicherheitslücken Video

Tipp: Schalten Sie Ihren Ton EIN und sehen Sie sich das Video im Vollbildmodus an .