Licences multi-appareils (remises sur volume)

Changer de région

English Dansk Deutsch Español Français Italiano Nederlands Polski Português Svenska Türkçe हिन्दी 日本語 汉语 漢語
Computer Security InkySquid Threat Actor abuse des vulnérabilités...

InkySquid Threat Actor abuse des vulnérabilités d'Internet Explorer

Par Mura en Computer Security
Se traduisent par :
Français

Des chercheurs en sécurité ont repéré une nouvelle campagne de menaces, apparemment dirigée par ce que l'on pense être un acteur de menace nord-coréen parrainé par l'État, connu sous le nom d' APT37 ou InkySquid. La campagne cible un journal sud-coréen en utilisant ce qu'infosec appelle une "attaque de point d'eau".

Les attaques de points d'eau sont basées sur l'observation ou de bonnes conjectures. Les auteurs de menaces traquent ou font une supposition éclairée sur un site Web ou un service en ligne couramment utilisé par les employés d'une entreprise, puis infectent le site Web cible avec des logiciels malveillants. En visitant le site comme ils le font habituellement, les employés de la victime finissent par être infectés par le logiciel malveillant.

La recherche sur cette attaque particulière a été menée par une équipe travaillant avec la société de sécurité Volexity. L'équipe a repéré l'apparition d'un code suspect chargé sur le site Web de Daily NK - un site d'information sud-coréen, traitant principalement d'informations concernant le voisin du nord du pays.

L'attaque a été menée à l'aide de code JavaScript malveillant, caché parmi le code légitime et régulier du site. Les chercheurs ont découvert que l'équipe InkySquid utilisait bPopUp - une bibliothèque JavaScript, avec leur code malveillant personnalisé.

Le code malveillant était très bien camouflé entre des extraits de code de site Web standard et les chercheurs pensent qu'il esquiverait facilement la détection automatisée et manuelle. La vulnérabilité d'Internet Explorer dont l'attaque abuse est codifiée comme CVE-2020-1380.

En ce qui concerne les spécificités de l'attaque, le groupe InkySquid a utilisé des chaînes encodées qui ont été conservées dans des balises de fichiers graphiques vectoriels SVG.

Le même acteur de la menace a également développé une nouvelle famille de logiciels malveillants que les chercheurs ont baptisée Bluelight. Dans ces attaques, Bluelight agit comme une charge utile de deuxième étape, la charge utile principale étant stockée dans les chaînes de balise SVG.

L'infrastructure de commande et de contrôle du malware repose sur des services cloud, notamment l'API Microsoft Graph et Google Drive.

Heureusement, avec Internet Explorer désormais largement remplacé par Edge pour ceux qui souhaitent s'en tenir au navigateur intégré de leur système Windows, l'attaque ne fonctionnera pas sur un grand nombre de victimes. Malgré cela, les chercheurs ont noté que le code malveillant était particulièrement bien caché sur le site utilisé comme point d'eau, ce qui rend les attaques similaires très difficiles à repérer.

InkySquid Threat Actor abuse des vulnérabilités d'Internet Explorer Vidéo

Astuce: Activez votre son et regarder la vidéo en mode plein écran.

Chargement...