Den cybertrusselsaktør kendt som TA569 eller SocGholish har kompromitteret JavaScript-kode, der bruges af en medieindholdsudbyder for at sprede Falske opdateringer malware til store medier i hele USA.
Ifølge en række tweets fra Proofpoint Threat Research Team, som blev offentliggjort sent onsdag, har angriberne pillet ved kodebasen af en applikation, som det unavngivne firma bruger til at vise video og reklamer til nationale og regionale aviswebsteder. Det angreb på forsyningskæden bliver brugt til at sprede TA569s tilpassede malware, som typisk bruges til at etablere et indledende adgangsnetværk til efterfølgende angreb og levering af ransomware.
Detektion kan være vanskelig, advarede forskerne: "TA569 har historisk fjernet og genindsat disse ondsindede JS-injektioner på roterende basis," ifølge et af tweets. "Derfor kan tilstedeværelsen af nyttelasten og ondsindet indhold variere fra time til time og bør ikke betragtes som en falsk positiv."
Mere end 250 regionale og nationale avissider har fået adgang til det ondsindede JavaScript, med berørte medieorganisationer, der betjener byer som Boston, Chicago, Cincinnati, Miami, New York, Palm Beach og Washington, DC, ifølge Proofpoint. Det er dog kun den berørte medieindholdsvirksomhed, der kender hele spektret af angrebet og dets indvirkning på tilknyttede websteder, sagde forskerne.
Tweets citerede Proofpoint trusselsdetektionsanalytiker Støvede Miller, senior sikkerhedsforsker Kyle Eaton, og senior trusselsforsker Andrew Northern til opdagelse og efterforskning af angrebet.
Historiske links til Evil Corp
FakeUpdates er en indledende adgangs-malware og angrebsramme i brug siden mindst 2020 (men potentielt tidligere), der tidligere har brugt drive-by-downloads, der er udgivet som softwareopdateringer til at udbrede. Det har tidligere været forbundet med aktivitet fra den formodede russiske cyberkriminalitetsgruppe Evil Corp, som formelt er blevet sanktioneret af den amerikanske regering.
Operatørerne er typisk vært for et ondsindet websted, der udfører en drive-by-downloadmekanisme - såsom JavaScript-kodeinjektioner eller URL-omdirigeringer - som igen udløser download af en arkivfil, der indeholder malware.
Symantec-forskere har tidligere observeret Evil Corp ved hjælp af malware som en del af en angrebssekvens til download WastedLocker, dengang en ny ransomware-stamme, på målnetværk tilbage i juli 2020.
En bølge af drive-by download-angreb der brugte den ramme, der blev fulgt mod slutningen af det år, hvor angriberne hostede ondsindede downloads ved at udnytte iFrames til at betjene kompromitterede websteder via et legitimt websted.
For nylig har forskere bundet en trusselkampagne distribuere FakeUpdates gennem eksisterende infektioner af den Raspberry Robin USB-baserede orm, et skridt, der betød en forbindelse mellem den russiske cyberkriminelle gruppe og ormen, der fungerer som en loader for anden malware.
Sådan nærmer du dig forsyningskædetruslen
Kampagnen opdaget af Proofpoint er endnu et eksempel på angribere, der bruger softwareforsyningskæden til at inficere kode, der deles på tværs af flere platforme, for at udvide virkningen af ondsindet angreb uden at skulle arbejde hårdere.
Faktisk har der allerede været adskillige eksempler på den ringvirkning, disse angreb kan have, med den nu berygtede SolarWinds , Log4J scenarier er blandt de mest fremtrædende.
Førstnævnte startede i slutningen af december 2020 med et brud i SolarWinds Orion-softwaren og spredes dybt ind i det næste år, med flere angreb på tværs af forskellige organisationer. Sidstnævnte saga udspillede sig i begyndelsen af december 2021 med opdagelsen af en fejl, der blev døbt Log4Shell in et meget brugt Java-logningsværktøj. Det ansporede til flere udnyttelser og gjorde millioner af applikationer sårbare over for angreb, hvoraf mange forblive upatchet i dag.
Supply chain-angreb er blevet så udbredt, at sikkerhedsadministratorer leder efter vejledning om, hvordan de kan forebygge og afbøde dem, hvilket både offentligheden og den private sektor har været glade for at tilbyde.
Følgende en udøvende ordre udstedt af præsident Biden sidste år, der instruerede regeringsorganer til at forbedre sikkerheden og integriteten af softwareforsyningskæden, National Institute for Standards and Technology (NIST) tidligere i år opdateret sin cybersikkerhedsvejledning til håndtering af softwareforsyningskæderisiko. Det offentliggørelse omfatter skræddersyede sæt af foreslåede sikkerhedskontroller til forskellige interessenter, såsom cybersikkerhedsspecialister, risikomanagere, systemingeniører og indkøbsembedsmænd.
Sikkerhedsprofessionelle har også tilbudt organisationer rådgivning om, hvordan man bedre sikrer forsyningskæden, og anbefaler, at de tager en nul-tillid tilgang til sikkerhed, overvåger tredjepartspartnere mere end nogen anden enhed i et miljø og vælger én leverandør til softwarebehov, der tilbyder hyppige kodeopdateringer.
