قام ممثل التهديد السيبراني المعروف باسم TA569 ، أو SocGholish ، باختراق كود JavaScript الذي يستخدمه موفر محتوى الوسائط من أجل نشر تحديثات وهمية برامج ضارة لوسائل الإعلام الرئيسية في جميع أنحاء الولايات المتحدة.
ووفقا ل سلسلة من التغريدات من فريق Proofpoint Threat Research الذي نشر في وقت متأخر من يوم الأربعاء ، تلاعب المهاجمون بقاعدة كود تطبيق تستخدمه الشركة التي لم تذكر اسمها لعرض الفيديو والإعلان على مواقع الصحف الوطنية والإقليمية. ال هجوم سلسلة التوريد يتم استخدامه لنشر البرامج الضارة المخصصة لـ TA569 ، والتي يتم استخدامها عادةً لإنشاء شبكة وصول أولية لهجمات المتابعة وتسليم برامج الفدية.
قد يكون الاكتشاف صعبًا ، كما حذر الباحثون: "قام TA569 تاريخيًا بإزالة وإعادة حقن JS الخبيثة على أساس دوري" ، وفقًا لإحدى التغريدات. "لذلك يمكن أن يختلف وجود الحمولة والمحتوى الضار من ساعة إلى أخرى ولا ينبغي اعتباره إيجابيًا كاذبًا."
تمكن أكثر من 250 موقعًا من الصحف الإقليمية والوطنية من الوصول إلى JavaScript الخبيث ، مع المنظمات الإعلامية المتأثرة التي تخدم مدنًا مثل بوسطن وشيكاغو وسينسيناتي وميامي ونيويورك وبالم بيتش وواشنطن العاصمة ، وفقًا لـ Proofpoint. ومع ذلك ، قال الباحثون إن شركة المحتوى الإعلامي المتأثرة هي فقط التي تعرف النطاق الكامل للهجوم وتأثيره على المواقع التابعة.
واستشهدت التغريدات بمحلل اكتشاف التهديدات Proofpoint المتربة ميلر، باحث أمني أول كايل إيتون، وباحث أول في التهديدات أندرو نورثرن لاكتشاف الهجوم والتحقيق فيه.
روابط تاريخية لشركة Evil Corp
FakeUpdates هو إطار أولي للبرامج الضارة والهجوم يتم استخدامه منذ عام 2020 على الأقل (ولكن يحتمل أن يكون في وقت سابق) ، التي استخدمت في الماضي التنزيلات التي تتم من خلال محرك الأقراص متنكراً كتحديثات البرامج للنشر. وقد تم ربطها سابقًا بنشاط من قبل مجموعة الجرائم الإلكترونية الروسية Evil Corp ، والتي فرضت عليها الحكومة الأمريكية عقوبات رسمية.
عادةً ما يستضيف المشغلون موقع ويب ضارًا ينفذ آلية تنزيل من محرك الأقراص - مثل حقن كود JavaScript أو إعادة توجيه عناوين URL - والتي بدورها تؤدي إلى تنزيل ملف أرشيف يحتوي على برامج ضارة.
لاحظ باحثو Symantec سابقًا شركة Evil Corp باستخدام البرامج الضارة كجزء من تسلسل هجوم للتنزيل مبددلوكير، ثم سلالة جديدة من برامج الفدية ، على الشبكات المستهدفة في يوليو 2020.
موجة من هجمات التنزيل من محرك الأقراص التي استخدمت الإطار المتبع في نهاية ذلك العام ، مع استضافة المهاجمين لتنزيلات ضارة من خلال الاستفادة من إطارات iFrames لتقديم مواقع الويب المخترقة عبر موقع شرعي.
في الآونة الأخيرة ، ربط الباحثون حملة تهديد توزيع FakeUpdates من خلال الإصابات الحالية للدودة المستندة إلى Raspberry Robin USB ، وهي خطوة تشير إلى وجود صلة بين مجموعة المجرمين الإلكترونيين الروس والدودة ، التي تعمل كمحمل للبرامج الضارة الأخرى.
كيفية التعامل مع تهديد سلسلة التوريد
الحملة التي اكتشفها Proofpoint هي مثال آخر على استخدام المهاجمين لسلسلة توريد البرامج لإصابة التعليمات البرمجية التي يتم مشاركتها عبر منصات متعددة ، لتوسيع تأثير الهجوم الضار دون الحاجة إلى العمل بجدية أكبر.
في الواقع ، كانت هناك بالفعل العديد من الأمثلة على التأثير المضاعف الذي يمكن أن تحدثه هذه الهجمات ، مع الشائنة الآن سولارويندز و Log4J السيناريوهات من بين أبرزها.
بدأ الأول في أواخر ديسمبر 2020 مع خرق في برنامج SolarWinds Orion وانتشاره في أعماق العام المقبل، مع هجمات متعددة عبر مؤسسات مختلفة. تكشفت القصة الأخيرة في أوائل ديسمبر 2021 ، مع اكتشاف عيب أُطلق عليه اسم Log4Shell in أداة تسجيل جافا مستخدمة على نطاق واسع. أدى ذلك إلى العديد من عمليات الاستغلال وجعل ملايين التطبيقات عرضة للهجوم ، وكثير منها تبقى غير مصححة اليوم.
أصبحت هجمات سلسلة التوريد منتشرة لدرجة أن مسؤولي الأمن يبحثون عن إرشادات حول كيفية منعها والتخفيف من حدتها ، وهو ما يفعله كل من الجمهور و القطاع الخاص يسعدني أن أعرضها.
متابَع أمر تنفيذي أصدره الرئيس بايدن العام الماضي موجهًا الوكالات الحكومية لتحسين أمان وسلامة سلسلة توريد البرمجيات ، المعهد الوطني للمعايير والتكنولوجيا (NIST) في وقت سابق من هذا العام تحديث إرشادات الأمن السيبراني لمعالجة مخاطر سلسلة توريد البرمجيات. ال منشور يتضمن مجموعات مصممة خصيصًا من ضوابط الأمان المقترحة للعديد من أصحاب المصلحة ، مثل متخصصي الأمن السيبراني ومديري المخاطر ومهندسي الأنظمة ومسؤولي المشتريات.
متخصصو الأمن لديهم أيضًا عرضت المنظمات المشورة حول كيفية تأمين سلسلة التوريد بشكل أفضل ، والتوصية باتباع نهج عدم الثقة في الأمان ، ومراقبة شركاء الطرف الثالث أكثر من أي كيان آخر في بيئة ما ، واختيار مورد واحد لاحتياجات البرامج التي توفر تحديثات التعليمات البرمجية المتكررة.
