Der als TA569 oder SocGholish bekannte Cyber-Bedrohungsakteur hat JavaScript-Code kompromittiert, der von einem Medieninhaltsanbieter verwendet wird, um das zu verbreiten Gefälschte Updates Schadsoftware für große Medienunternehmen in den USA.
Gemäß einer Reihe von Tweets Wie das Proofpoint Threat Research Team am späten Mittwoch veröffentlichte, haben die Angreifer die Codebasis einer Anwendung manipuliert, die das namentlich nicht genannte Unternehmen verwendet, um Videos und Werbung auf nationalen und regionalen Zeitungswebsites bereitzustellen. Der Supply-Chain-Angriff wird zur Verbreitung der benutzerdefinierten Malware von TA569 verwendet, die typischerweise zum Aufbau eines Erstzugriffsnetzwerks für Folgeangriffe und die Verbreitung von Ransomware eingesetzt wird.
Die Erkennung könnte schwierig sein, warnten die Forscher: „TA569 hat diese bösartigen JS-Injektionen in der Vergangenheit abwechselnd entfernt und wieder eingesetzt“, heißt es in einem der Tweets. „Daher kann das Vorhandensein der Nutzlast und des bösartigen Inhalts von Stunde zu Stunde schwanken und sollte nicht als Fehlalarm gewertet werden.“
Laut Proofpoint haben mehr als 250 regionale und überregionale Zeitungsseiten auf das bösartige JavaScript zugegriffen, wobei betroffene Medienorganisationen Städte wie Boston, Chicago, Cincinnati, Miami, New York, Palm Beach und Washington, DC bedienen. Allerdings kennt nur das betroffene Medienunternehmen das gesamte Ausmaß des Angriffs und seine Auswirkungen auf Affiliate-Websites, sagten die Forscher.
In den Tweets wurde der Bedrohungserkennungsanalyst Proofpoint zitiert Staubiger Müller, leitender Sicherheitsforscher Kyle Eatonund leitender Bedrohungsforscher Andrew Northern für die Aufdeckung und Aufklärung des Anschlags.
Historische Verbindungen zu Evil Corp
FakeUpdates ist ein Malware- und Angriffs-Framework für den Erstzugriff, das seit mindestens 2020 verwendet wird (aber möglicherweise früher), der in der Vergangenheit Drive-by-Downloads nutzte, die sich als Software-Updates tarnten, um sich zu verbreiten. Es wurde zuvor mit Aktivitäten der mutmaßlichen russischen Cybercrime-Gruppe Evil Corp in Verbindung gebracht, die von der US-Regierung offiziell sanktioniert wurde.
Die Betreiber hosten in der Regel eine bösartige Website, die einen Drive-by-Download-Mechanismus ausführt – etwa JavaScript-Code-Injektionen oder URL-Umleitungen –, der wiederum den Download einer Archivdatei auslöst, die Malware enthält.
Symantec-Forscher beobachteten zuvor Evil Corp Verwendung der Schadsoftware als Teil einer Angriffssequenz zum Herunterladen WastedLocker, damals eine neue Ransomware-Variante, im Juli 2020 in Zielnetzwerken.
Eine Welle von Drive-by-Download-Angriffen Gegen Ende des Jahres folgten Angriffe, die das Framework verwendeten. Die Angreifer hosteten bösartige Downloads, indem sie iFrames nutzten, um kompromittierte Websites über eine legitime Website bereitzustellen.
In jüngerer Zeit verbanden sich Forscher eine Drohkampagne Verbreitung von FakeUpdates über bestehende Infektionen des USB-basierten Wurms Raspberry Robin, ein Schritt, der eine Verbindung zwischen der russischen Cyberkriminellengruppe und dem Wurm bedeutete, der als Lader für andere Malware fungiert.
Wie man der Bedrohung durch die Lieferkette begegnet
Die von Proofpoint entdeckte Kampagne ist ein weiteres Beispiel dafür, wie Angreifer die Software-Lieferkette nutzen, um Code zu infizieren, der auf mehreren Plattformen gemeinsam genutzt wird, um die Wirkung böswilliger Angriffe zu vergrößern, ohne noch härter arbeiten zu müssen.
Tatsächlich gibt es bereits zahlreiche Beispiele dafür, welche weitreichenden Auswirkungen diese Angriffe haben können, die inzwischen berüchtigt sind SolarWinds und Log4J Szenarien gehören zu den prominentesten.
Ersteres begann Ende Dezember 2020 mit eine Verletzung in der SolarWinds Orion-Software installiert und verbreitet tief im nächsten Jahr, mit mehreren Angriffen auf verschiedene Organisationen. Die letztgenannte Saga nahm Anfang Dezember 2021 ihren Lauf, als ein Fehler entdeckt wurde Log4Shell in ein weit verbreitetes Java-Protokollierungstool. Dies führte zu mehreren Exploits und machte Millionen von Anwendungen anfällig für Angriffe, viele davon bleiben ungepatcht heute.
Angriffe auf die Lieferkette sind so weit verbreitet, dass Sicherheitsadministratoren nach Anleitungen suchen, wie sie diese verhindern und entschärfen können, was sowohl die Öffentlichkeit als auch die Öffentlichkeit betrifft privater Sektor haben wir gerne angeboten.
folgende eine Durchführungsverfügung Das National Institute for Standards and Technology (NIST) gab Anfang des Jahres eine von Präsident Biden im vergangenen Jahr herausgegebene Anweisung an Regierungsbehörden bekannt, die Sicherheit und Integrität der Software-Lieferkette zu verbessern hat seine Leitlinien zur Cybersicherheit aktualisiert zur Bewältigung von Risiken in der Software-Lieferkette. Der Veröffentlichung umfasst maßgeschneiderte Sätze vorgeschlagener Sicherheitskontrollen für verschiedene Interessengruppen, wie z. B. Cybersicherheitsspezialisten, Risikomanager, Systemingenieure und Beschaffungsbeamte.
Sicherheitsexperten haben es auch bot Organisationen Beratung an Darüber, wie die Lieferkette besser gesichert werden kann, empfehlen wir ihnen, bei der Sicherheit einen Zero-Trust-Ansatz zu verfolgen, Drittpartner stärker als jedes andere Unternehmen in einer Umgebung zu überwachen und einen Lieferanten für Softwareanforderungen auszuwählen, der häufige Code-Updates anbietet.
