Северокорейская APT-группа InkySquid атакует жертв через уязвимости в браузерах Microsoft

Исследователи безопасности ИБ-компании Volexity зафиксировали атаки известной северокорейской хакерской группировки на ограниченный круг жертв с использованием эксплоитов для уязвимостей в web-браузере и нового вредоносного ПО.

Хакерская группировка под названием InkySquid сумела взломать новый сайт в Южной Корее и внедрить в него вредоносный код. Данный эксплоит используется с 2020 года в атаках на браузер Internet Explorer с целью загрузки обфусцированного Javascript-кода, скрытого внутри легитимного кода.

Вышеописанная техника также использовалась для атак на пользователей устаревшего браузера Edge первого поколения, но через более новую уязвимость, которая также присутствует в Internet Explorer.

В обоих случаях Javascript расшифровывается в версию инструмента Cobalt Strike, после чего загружается вредоносное ПО второго этапа под названием BLUELIGHT.

BLUELIGHT представляет собой семейство вредоносного ПО для поиска и похищения информации, настроенного хакерами таким образом, чтобы использовать разных облачных провайдеров и C&C-серверов.

В операциях BLUELIGHT хакеры использовали API Microsoft Graph для Microsoft 365, Office и других сервисов.

По мнению Volexity, за атаками InkySquid стоит северокорейская хакерская группировка, также известная как ScarCruft или APT37. Группировка активна с 2012 года и атакует в основном предприятия в Южной Корее и других странах Азии и Среднего Востока.