20/08/21
Исследователи безопасности ИБ-компании Volexity зафиксировали атаки известной северокорейской хакерской группировки на ограниченный круг жертв с использованием эксплоитов для уязвимостей в web-браузере и нового вредоносного ПО.
Хакерская группировка под названием InkySquid сумела взломать новый сайт в Южной Корее и внедрить в него вредоносный код. Данный эксплоит используется с 2020 года в атаках на браузер Internet Explorer с целью загрузки обфусцированного Javascript-кода, скрытого внутри легитимного кода.
Вышеописанная техника также использовалась для атак на пользователей устаревшего браузера Edge первого поколения, но через более новую уязвимость, которая также присутствует в Internet Explorer.
В обоих случаях Javascript расшифровывается в версию инструмента Cobalt Strike, после чего загружается вредоносное ПО второго этапа под названием BLUELIGHT.
BLUELIGHT представляет собой семейство вредоносного ПО для поиска и похищения информации, настроенного хакерами таким образом, чтобы использовать разных облачных провайдеров и C&C-серверов.
В операциях BLUELIGHT хакеры использовали API Microsoft Graph для Microsoft 365, Office и других сервисов.
По мнению Volexity, за атаками InkySquid стоит северокорейская хакерская группировка, также известная как ScarCruft или APT37. Группировка активна с 2012 года и атакует в основном предприятия в Южной Корее и других странах Азии и Среднего Востока.
