عامل تهدید تهدیدات سایبری معروف به TA569 یا SocGholish، کد جاوا اسکریپت مورد استفاده توسط یک ارائه دهنده محتوای رسانه را به خطر انداخته است تا بتواند این اطلاعات را گسترش دهد. به روز رسانی های جعلی بدافزار به رسانه های بزرگ در سراسر ایالات متحده.
با توجه به سری توییت ها از تیم تحقیقاتی Proofpoint Threat که اواخر چهارشنبه منتشر شد، مهاجمان در پایگاه کد برنامهای دستکاری کردهاند که این شرکت ناشناس از آن برای ارائه ویدئو و تبلیغات به وبسایتهای روزنامههای ملی و منطقهای استفاده میکند. را حمله زنجیره تامین برای گسترش بدافزار سفارشی TA569 استفاده می شود، که معمولاً برای ایجاد یک شبکه دسترسی اولیه برای حملات بعدی و تحویل باج افزار استفاده می شود.
محققان هشدار دادند که تشخیص ممکن است دشوار باشد: طبق یکی از توییتها، «TA569 بهطور تاریخی این تزریقهای مخرب JS را به صورت چرخشی حذف و مجدداً بازیابی کرد». بنابراین وجود محموله و محتوای مخرب می تواند ساعت به ساعت متفاوت باشد و نباید به عنوان یک مثبت کاذب در نظر گرفته شود.
به گفته Proofpoint، بیش از 250 سایت روزنامه منطقهای و ملی به جاوا اسکریپت مخرب دسترسی پیدا کردهاند و سازمانهای رسانهای آسیبدیده به شهرهایی مانند بوستون، شیکاگو، سینسیناتی، میامی، نیویورک، پالمبیچ و واشنگتن دی سی خدمات ارائه میدهند. به گفته محققان، با این حال، تنها شرکت محتوای رسانهای تحت تأثیر دامنه کامل حمله و تأثیر آن بر سایتهای وابسته را میداند.
در این توییت ها به تحلیلگر تشخیص تهدید Proofpoint اشاره شده است داستی میلر، محقق ارشد امنیت کایل ایتونو محقق ارشد تهدید اندرو شمالی برای کشف و بررسی حمله
پیوندهای تاریخی به Evil Corp
FakeUpdates یک بدافزار دسترسی اولیه و چارچوب حمله است که حداقل از سال 2020 استفاده می شود (اما به طور بالقوه زودتر) که در گذشته از دانلودهای درایو به شکل به روز رسانی نرم افزار برای انتشار استفاده می کرد. قبلاً با فعالیت گروه مظنون جرایم سایبری روسی Evil Corp مرتبط بوده است که به طور رسمی توسط دولت ایالات متحده تحریم شده است.
اپراتورها معمولاً یک وبسایت مخرب را میزبانی میکنند که مکانیزم دانلود درایو را اجرا میکند - مانند تزریق کد جاوا اسکریپت یا تغییر مسیر URL - که به نوبه خود باعث دانلود یک فایل بایگانی میشود که حاوی بدافزار است.
محققان سیمانتک قبلا Evil Corp را مشاهده کرده بودند با استفاده از بدافزار به عنوان بخشی از یک توالی حمله برای دانلود WastedLocker، سپس یک نوع باج افزار جدید، در شبکه های هدف در جولای 2020.
موجی از حملات دانلود درایو که از چارچوبی که در پایان آن سال دنبال شد، استفاده کرد و مهاجمان بارگیری های مخرب را با استفاده از iFrames برای ارائه وب سایت های در معرض خطر از طریق یک سایت قانونی میزبانی کردند.
اخیرا، محققان گره خورده اند یک کمپین تهدید توزیع FakeUpdates از طریق عفونتهای موجود کرم مبتنی بر USB Raspberry Robin، حرکتی که نشاندهنده ارتباط بین گروه مجرمان سایبری روسی و کرم است که به عنوان بارگیری برای سایر بدافزارها عمل میکند.
چگونه به تهدید زنجیره تامین نزدیک شویم
کمپین کشف شده توسط Proofpoint نمونه دیگری از مهاجمان است که از زنجیره تامین نرم افزار برای آلوده کردن کدهایی که در چندین پلتفرم به اشتراک گذاشته شده است استفاده می کنند تا تاثیر حملات مخرب را بدون نیاز به تلاش بیشتر گسترش دهند.
در واقع، قبلاً نمونههای متعددی از اثر موجدار این حملات وجود داشته است، که اکنون بدنام است. SolarWinds و Log4J سناریوها از برجسته ترین سناریوها هستند.
اولی در اواخر دسامبر 2020 با یک نقض در نرم افزار SolarWinds Orion و گسترش عمیق در سال آینده، با حملات متعدد در سازمان های مختلف. حماسه دوم در اوایل دسامبر 2021 با کشف یک نقص دوبله آشکار شد. Log4Shell in یک ابزار ثبت جاوا که به طور گسترده مورد استفاده قرار می گیرد. این امر باعث ایجاد اکسپلویت های متعدد شد و میلیون ها برنامه کاربردی را در برابر حمله آسیب پذیر کرد که بسیاری از آنها بدون وصله باقی می ماند امروز.
حملات زنجیره تامین به حدی شایع شده است که مدیران امنیتی به دنبال راهنمایی در مورد نحوه جلوگیری و کاهش آن هستند، که هم عموم و هم بخش خصوصی از ارائه خوشحال شده اند.
ذیل یک دستور اجرایی سال گذشته توسط پرزیدنت بایدن صادر شد و به سازمان های دولتی دستور داد تا امنیت و یکپارچگی زنجیره تامین نرم افزار را بهبود بخشند، موسسه ملی استاندارد و فناوری (NIST) در اوایل سال جاری راهنمای امنیت سایبری خود را به روز کرد برای پرداختن به ریسک زنجیره تامین نرم افزار را انتشار شامل مجموعههای سفارشی از کنترلهای امنیتی پیشنهادی برای ذینفعان مختلف، مانند متخصصان امنیت سایبری، مدیران ریسک، مهندسین سیستمها و مسئولان تدارکات است.
متخصصان امنیتی نیز دارند به سازمان ها مشاوره ارائه کرد در مورد چگونگی ایمن سازی بهتر زنجیره تامین، توصیه می کنیم که رویکردی بدون اعتماد به امنیت داشته باشند، شرکای شخص ثالث را بیش از هر نهاد دیگری در یک محیط زیر نظر داشته باشند و یک تامین کننده را برای نیازهای نرم افزاری انتخاب کنند که به روز رسانی های مکرر کد را ارائه می دهد.