حمله زنجیره تامین بدافزار را به بیش از 250 وب سایت رسانه ای منتقل می کند

عامل تهدید تهدیدات سایبری معروف به TA569 یا SocGholish، کد جاوا اسکریپت مورد استفاده توسط یک ارائه دهنده محتوای رسانه را به خطر انداخته است تا بتواند این اطلاعات را گسترش دهد. به روز رسانی های جعلی بدافزار به رسانه های بزرگ در سراسر ایالات متحده.

با توجه به سری توییت ها از تیم تحقیقاتی Proofpoint Threat که اواخر چهارشنبه منتشر شد، مهاجمان در پایگاه کد برنامه‌ای دستکاری کرده‌اند که این شرکت ناشناس از آن برای ارائه ویدئو و تبلیغات به وب‌سایت‌های روزنامه‌های ملی و منطقه‌ای استفاده می‌کند. را حمله زنجیره تامین برای گسترش بدافزار سفارشی TA569 استفاده می شود، که معمولاً برای ایجاد یک شبکه دسترسی اولیه برای حملات بعدی و تحویل باج افزار استفاده می شود.

محققان هشدار دادند که تشخیص ممکن است دشوار باشد: طبق یکی از توییت‌ها، «TA569 به‌طور تاریخی این تزریق‌های مخرب JS را به صورت چرخشی حذف و مجدداً بازیابی کرد». بنابراین وجود محموله و محتوای مخرب می تواند ساعت به ساعت متفاوت باشد و نباید به عنوان یک مثبت کاذب در نظر گرفته شود.

به گفته Proofpoint، بیش از 250 سایت روزنامه منطقه‌ای و ملی به جاوا اسکریپت مخرب دسترسی پیدا کرده‌اند و سازمان‌های رسانه‌ای آسیب‌دیده به شهرهایی مانند بوستون، شیکاگو، سینسیناتی، میامی، نیویورک، پالم‌بیچ و واشنگتن دی سی خدمات ارائه می‌دهند. به گفته محققان، با این حال، تنها شرکت محتوای رسانه‌ای تحت تأثیر دامنه کامل حمله و تأثیر آن بر سایت‌های وابسته را می‌داند.

در این توییت ها به تحلیلگر تشخیص تهدید Proofpoint اشاره شده است داستی میلر، محقق ارشد امنیت کایل ایتونو محقق ارشد تهدید اندرو شمالی برای کشف و بررسی حمله

پیوندهای تاریخی به Evil Corp

FakeUpdates یک بدافزار دسترسی اولیه و چارچوب حمله است که حداقل از سال 2020 استفاده می شود (اما به طور بالقوه زودتر) که در گذشته از دانلودهای درایو به شکل به روز رسانی نرم افزار برای انتشار استفاده می کرد. قبلاً با فعالیت گروه مظنون جرایم سایبری روسی Evil Corp مرتبط بوده است که به طور رسمی توسط دولت ایالات متحده تحریم شده است.

اپراتورها معمولاً یک وب‌سایت مخرب را میزبانی می‌کنند که مکانیزم دانلود درایو را اجرا می‌کند - مانند تزریق کد جاوا اسکریپت یا تغییر مسیر URL - که به نوبه خود باعث دانلود یک فایل بایگانی می‌شود که حاوی بدافزار است.

محققان سیمانتک قبلا Evil Corp را مشاهده کرده بودند با استفاده از بدافزار به عنوان بخشی از یک توالی حمله برای دانلود WastedLocker، سپس یک نوع باج افزار جدید، در شبکه های هدف در جولای 2020.

موجی از حملات دانلود درایو که از چارچوبی که در پایان آن سال دنبال شد، استفاده کرد و مهاجمان بارگیری های مخرب را با استفاده از iFrames برای ارائه وب سایت های در معرض خطر از طریق یک سایت قانونی میزبانی کردند.

اخیرا، محققان گره خورده اند یک کمپین تهدید توزیع FakeUpdates از طریق عفونت‌های موجود کرم مبتنی بر USB Raspberry Robin، حرکتی که نشان‌دهنده ارتباط بین گروه مجرمان سایبری روسی و کرم است که به عنوان بارگیری برای سایر بدافزارها عمل می‌کند.

چگونه به تهدید زنجیره تامین نزدیک شویم

کمپین کشف شده توسط Proofpoint نمونه دیگری از مهاجمان است که از زنجیره تامین نرم افزار برای آلوده کردن کدهایی که در چندین پلتفرم به اشتراک گذاشته شده است استفاده می کنند تا تاثیر حملات مخرب را بدون نیاز به تلاش بیشتر گسترش دهند.

در واقع، قبلاً نمونه‌های متعددی از اثر موج‌دار این حملات وجود داشته است، که اکنون بدنام است. SolarWinds و Log4J سناریوها از برجسته ترین سناریوها هستند.

اولی در اواخر دسامبر 2020 با یک نقض در نرم افزار SolarWinds Orion و گسترش عمیق در سال آینده، با حملات متعدد در سازمان های مختلف. حماسه دوم در اوایل دسامبر 2021 با کشف یک نقص دوبله آشکار شد. Log4Shell in یک ابزار ثبت جاوا که به طور گسترده مورد استفاده قرار می گیرد. این امر باعث ایجاد اکسپلویت های متعدد شد و میلیون ها برنامه کاربردی را در برابر حمله آسیب پذیر کرد که بسیاری از آنها بدون وصله باقی می ماند امروز.

حملات زنجیره تامین به حدی شایع شده است که مدیران امنیتی به دنبال راهنمایی در مورد نحوه جلوگیری و کاهش آن هستند، که هم عموم و هم بخش خصوصی از ارائه خوشحال شده اند.

ذیل یک دستور اجرایی سال گذشته توسط پرزیدنت بایدن صادر شد و به سازمان های دولتی دستور داد تا امنیت و یکپارچگی زنجیره تامین نرم افزار را بهبود بخشند، موسسه ملی استاندارد و فناوری (NIST) در اوایل سال جاری راهنمای امنیت سایبری خود را به روز کرد برای پرداختن به ریسک زنجیره تامین نرم افزار را انتشار شامل مجموعه‌های سفارشی از کنترل‌های امنیتی پیشنهادی برای ذینفعان مختلف، مانند متخصصان امنیت سایبری، مدیران ریسک، مهندسین سیستم‌ها و مسئولان تدارکات است.

متخصصان امنیتی نیز دارند به سازمان ها مشاوره ارائه کرد در مورد چگونگی ایمن سازی بهتر زنجیره تامین، توصیه می کنیم که رویکردی بدون اعتماد به امنیت داشته باشند، شرکای شخص ثالث را بیش از هر نهاد دیگری در یک محیط زیر نظر داشته باشند و یک تامین کننده را برای نیازهای نرم افزاری انتخاب کنند که به روز رسانی های مکرر کد را ارائه می دهد.