El actor de amenazas cibernéticas conocido como TA569, o SocGholish, ha comprometido el código JavaScript utilizado por un proveedor de contenido multimedia para difundir el Actualizaciones falsas malware a los principales medios de comunicación de Estados Unidos.
De acuerdo a una serie de tweets Según el equipo de investigación de amenazas de Proofpoint publicado el miércoles por la noche, los atacantes han alterado el código base de una aplicación que la empresa anónima utiliza para ofrecer vídeos y publicidad a sitios web de periódicos nacionales y regionales. El ataque a la cadena de suministro se utiliza para difundir el malware personalizado de TA569, que normalmente se emplea para establecer una red de acceso inicial para ataques posteriores y entrega de ransomware.
La detección podría ser complicada, advirtieron los investigadores: "Históricamente, TA569 eliminó y restableció estas inyecciones JS maliciosas de forma rotativa", según uno de los tweets. "Por lo tanto, la presencia de la carga útil y el contenido malicioso puede variar de una hora a otra y no debe considerarse un falso positivo".
Según Proofpoint, más de 250 sitios de periódicos regionales y nacionales han accedido al JavaScript malicioso, y las organizaciones de medios afectadas prestan servicios en ciudades como Boston, Chicago, Cincinnati, Miami, Nueva York, Palm Beach y Washington, DC. Sin embargo, sólo la empresa de contenidos multimedia afectada conoce el alcance completo del ataque y su impacto en los sitios afiliados, dijeron los investigadores.
Los tweets citaron al analista de detección de amenazas de Proofpoint. Miller polvoriento, investigador senior de seguridad Kyle Eatone investigador senior de amenazas andres norteño para el descubrimiento e investigación del ataque.
Vínculos históricos con Evil Corp
FakeUpdates es un marco de ataque y malware de acceso inicial que se utiliza desde al menos 2020 (pero potencialmente antes), que en el pasado ha utilizado descargas no autorizadas haciéndose pasar por actualizaciones de software para propagarse. Anteriormente se le ha vinculado con la actividad del presunto grupo ruso de cibercrimen Evil Corp, que ha sido sancionado formalmente por el gobierno de Estados Unidos.
Los operadores suelen alojar un sitio web malicioso que ejecuta un mecanismo de descarga no autorizada, como inyecciones de código JavaScript o redirecciones de URL, que a su vez desencadena la descarga de un archivo que contiene malware.
Los investigadores de Symantec observaron previamente a Evil Corp usando el malware como parte de una secuencia de ataque para descargar Casillero desperdiciado, entonces una nueva cepa de ransomware, en las redes objetivo en julio de 2020.
Una oleada de ataques de descargas no autorizadas que utilizó el marco seguido hacia finales de ese año, con los atacantes alojando descargas maliciosas aprovechando iFrames para servir sitios web comprometidos a través de un sitio legítimo.
Más recientemente, los investigadores vincularon una campaña de amenazas distribuir FakeUpdates a través de infecciones existentes del gusano USB Raspberry Robin, una medida que significó un vínculo entre el grupo cibercriminal ruso y el gusano, que actúa como cargador de otro malware.
Cómo abordar la amenaza a la cadena de suministro
La campaña descubierta por Proofpoint es otro ejemplo más de atacantes que utilizan la cadena de suministro de software para infectar código que se comparte en múltiples plataformas, para ampliar el impacto de un ataque malicioso sin tener que trabajar más.
De hecho, ya ha habido numerosos ejemplos del efecto dominó que estos ataques pueden tener, con el ahora infame Vientos solares y Log4J Los escenarios se encuentran entre los más destacados.
El primero comenzó a finales de diciembre de 2020 con un incumplimiento en el software SolarWinds Orion y difundir en lo profundo del próximo año, con múltiples ataques en varias organizaciones. Esta última saga se desarrolló a principios de diciembre de 2021, con el descubrimiento de una falla denominada Log4Shell in una herramienta de registro de Java ampliamente utilizada. Eso estimuló múltiples exploits e hizo que millones de aplicaciones fueran vulnerables a ataques, muchas de las cuales permanecer sin parchear .
Los ataques a la cadena de suministro se han vuelto tan frecuentes que los administradores de seguridad buscan orientación sobre cómo prevenirlos y mitigarlos, algo que tanto el público como sector privado he estado feliz de ofrecer.
Siguiendo una orden ejecutiva emitido por el presidente Biden el año pasado ordenando a las agencias gubernamentales que mejoren la seguridad y la integridad de la cadena de suministro de software, el Instituto Nacional de Estándares y Tecnología (NIST) a principios de este año. actualizó su guía de ciberseguridad para abordar el riesgo de la cadena de suministro de software. El publicación incluye conjuntos personalizados de controles de seguridad sugeridos para diversas partes interesadas, como especialistas en ciberseguridad, administradores de riesgos, ingenieros de sistemas y funcionarios de adquisiciones.
Los profesionales de la seguridad también tienen asesoramiento ofrecido a las organizaciones sobre cómo proteger mejor la cadena de suministro, recomendando que adopten un enfoque de seguridad de confianza cero, supervisen a los socios externos más que cualquier otra entidad en un entorno y elijan un proveedor para las necesidades de software que ofrezca actualizaciones frecuentes de código.
- blockchain
- carteras de criptomonedas
- intercambio crypto
- seguridad cibernética
- ciberdelincuentes
- La Ciberseguridad
- Lectura oscura
- departamento de seguridad nacional
- billeteras digitales
- cortafuegos
- Kaspersky
- el malware
- Mcafee
- NexBLOC
- Platón
- platón ai
- Inteligencia de datos de Platón
- Juego de Platón
- PlatónDatos
- juego de platos
- VPN
- seguridad del sitio web
