InternetExplorerの脆弱性を悪用するInkySquid脅威アクター

セキュリティ研究者は、APT37またはInkySquidとして知られている国が後援する北朝鮮の脅威アクターであると信じられているものによって実行されているように見える新しい脅威キャンペーンを発見しました。このキャンペーンは、infosecが「水飲み場型攻撃」と呼ぶものを使用して韓国の新聞を標的にしています。

水飲み場型攻撃は、観察または適切な推測に基づいています。攻撃者は、企業の従業員が一般的に使用しているWebサイトまたはオンラインサービスを追跡するか、知識に基づいて推測し、標的のWebサイトをマルウェアに感染させます。通常のようにサイトにアクセスすると、被害者の従業員は最終的にマルウェアに感染します。

この特定の攻撃の調査は、セキュリティ会社Volexityと協力しているチームによって実施されました。チームは、韓国のニュースサイトであるDaily NKのウェブサイトに読み込まれた疑わしいコードの出現を発見しました。これは、主に国の北部の隣人に関するニュースを扱っています。

攻撃は、サイト上の通常の正当なコードの中に隠された悪意のあるJavaScriptコードを使用して実行されました。研究者たちは、InkySquidチームがカスタムの悪意のあるコードと一緒にJavaScriptライブラリであるbPopUpを使用していることを発見しました。

悪意のあるコードは、通常のWebサイトコードのスニペット間で非常によく偽装されており、研究者は、自動検出と手動検出の両方を簡単に回避できると考えています。攻撃が悪用するInternetExplorerの脆弱性は、CVE-2020-1380として体系化されています。

攻撃の詳細に関しては、InkySquidグループは、SVGベクターグラフィックファイルタグに保持されているエンコードされた文字列を使用していました。

同じ脅威アクターが、研究者がBluelightと名付けたマルウェアの新しいファミリーも開発しました。これらの攻撃では、Bluelightは第2ステージのペイロードとして機能し、プライマリペイロードはSVGタグ文字列に格納されます。

マルウェアのコマンドアンドコントロールインフラストラクチャは、Microsoft GraphAPIやGoogleドライブなどのクラウドサービスに依存しています。

ありがたいことに、Windowsシステムの組み込みブラウザを使い続けたい人のためにInternet ExplorerがEdgeに大幅に置き換えられたため、攻撃は膨大な数の被害者に対して機能しません。それにもかかわらず、研究者は、悪意のあるコードが水飲み場として使用されるサイトに特によく隠されていたため、同様の攻撃を見つけるのが非常に困難であると指摘しました。

InternetExplorerの脆弱性を悪用するInkySquid脅威アクタービデオ

ヒント：サウンドをオンにして、フルスクリーンモードでビデオを視聴します。