Licencias para múltiples dispositivos (descuentos por volumen)

Cambia región

English Dansk Deutsch Español Français Italiano Nederlands Polski Português Svenska Türkçe हिन्दी 日本語 汉语 漢語
Computer Security InkySquid Threat Actor Abusando de las Vulnerabilidades...

InkySquid Threat Actor Abusando de las Vulnerabilidades de Internet Explorer

Por Mura en Computer Security
Traducir a:
Español

Los investigadores de seguridad han detectado una nueva campaña de amenazas, aparentemente dirigida por lo que se cree que es un actor de amenazas norcoreano patrocinado por el estado conocido como APT37 o InkySquid. La campaña está dirigida a un periódico de Corea del Sur que utiliza lo que infosec llama un "ataque de pozo de agua".

Los ataques de abrevadero se basan en la observación o en buenas conjeturas. Los actores de amenazas rastrean o hacen una conjetura sobre un sitio web o servicio en línea que los empleados de una empresa usan comúnmente y luego infectan el sitio web objetivo con malware. Al visitar el sitio como lo hacen habitualmente, los empleados de la víctima eventualmente se infectan con el malware.

La investigación de este ataque en particular fue realizada por un equipo que trabaja con la empresa de seguridad Volexity. El equipo detectó la aparición de un código sospechoso cargado en el sitio web de Daily NK, un sitio de noticias de Corea del Sur, que se ocupa principalmente de noticias relacionadas con el vecino del norte del país.

El ataque se llevó a cabo utilizando código JavaScript malicioso, oculto entre el código legítimo regular del sitio. Los investigadores descubrieron que el equipo de InkySquid usó bPopUp, una biblioteca de JavaScript, junto con su código malicioso personalizado.

El código malicioso estaba muy bien camuflado entre fragmentos de código de sitio web normal y los investigadores creen que fácilmente esquivaría tanto la detección automática como la manual. La vulnerabilidad de Internet Explorer de la que abusa el ataque está codificada como CVE-2020-1380.

Cuando se trata de los detalles del ataque, el grupo InkySquid usó cadenas codificadas que se guardaron en etiquetas de archivos de gráficos vectoriales SVG.

El mismo actor de amenazas también ha desarrollado una nueva familia de malware que los investigadores denominaron Bluelight. En esos ataques, Bluelight actúa como una carga útil de segunda etapa, con la carga útil principal almacenada en las cadenas de etiquetas SVG.

La infraestructura de comando y control del malware se basa en servicios en la nube, incluidos Microsoft Graph API y Google Drive.

Afortunadamente, con Internet Explorer ahora reemplazado en gran parte por Edge para aquellos que quieren seguir con el navegador integrado de su sistema Windows, el ataque no funcionará en una gran cantidad de víctimas. A pesar de eso, los investigadores notaron que el código malicioso estaba particularmente bien escondido en el sitio utilizado como abrevadero, lo que hace que ataques similares sean muy difíciles de detectar.

Video InkySquid Threat Actor Abusando de las Vulnerabilidades de Internet Explorer

Consejo: encienda el sonido y mire el video en modo de pantalla completa .

Cargando...