Inky Squid

Los investigadores de seguridad han registrado ataques de un conocido grupo de piratas informáticos de Corea del Norte, dirigidos a un número limitado de víctimas mediante el uso de un navegador web para lanzar una nueva familia de malware en las computadoras.

Los atacantes, llamado el proveedor de seguridad Volexity llamado InkySquid, pudieron usar un hack web estratégico para un nuevo sitio web de Corea del Sur, para inyectarle código malicioso.

Se utilizó una vulnerabilidad de 2020 contra los visitantes que usaban el navegador Internet Explorer de MIcrosoft para cargar código Javascript ofuscado, que estaba oculto dentro de un código legítimo.

El antiguo navegador Edge de primera generación de Microsoft también fue atacado de manera similar al anterior por un exploit más nuevo, que también funcionaba con Internet Explorer.

En ambos casos, el Javascript se decodificó en una versión por etapas de la herramienta de prueba de penetración Cobalt Strike, seguida de una carga útil secundaria que Volexity llamó BLUELIGHT.

BLUELIGHT es una nueva colección para restaurar relaciones y robar información de la familia de malware creado por piratas informáticos para usar diferentes proveedores de servicios en la nube para comando y control.

En los ataques coreanos, Volexity descubrió que la API de Microsoft Graph para Microsoft 365, Office y otros servicios se usaba para las operaciones de BLUELIGHT.

Volexity atribuyó los ataques de InkySquid al Grupo de Amenazas Persistentes Avanzadas de Corea del Norte, InkySquid, también conocido como ScarCruft o APT37.

El grupo de piratería ha estado activo desde 2012, apuntando a empresas principalmente en Corea del Sur, pero también en otros países asiáticos y Medio Oriente.

Entradas relacionadas

Dejar un Comentario