TA569- tai SocGholish-niminen kyberuhkien toimija on vaarantanut mediasisällön tuottajan käyttämän JavaScript-koodin levittääkseen FakeUpdates haittaohjelmat suurille tiedotusvälineille kaikkialla Yhdysvalloissa.
Mukaan sarjan tweets myöhään keskiviikkona julkaisemasta Proofpoint Threat Research Teamista, hyökkääjät ovat peukaloineet sovelluksen koodikantaa, jota nimeämätön yritys käyttää videoiden ja mainosten näyttämiseen kansallisille ja alueellisille sanomalehtien verkkosivustoille. The toimitusketjun hyökkäys käytetään levittämään TA569:n mukautettuja haittaohjelmia, joita käytetään tyypillisesti perustamaan ensimmäinen pääsyverkko jatkohyökkäyksiä ja kiristysohjelmien toimittamista varten.
Tunnistaminen voi olla hankalaa, tutkijat varoittivat: "TA569 on historiallisesti poistanut ja palauttanut nämä haitalliset JS-ruiskeet vuorotellen", yhden twiitin mukaan. "Siksi hyötykuorman ja haitallisen sisällön esiintyminen voi vaihdella tunneittain, eikä sitä pidä pitää vääränä positiivisena."
Proofpointin mukaan yli 250 alueellista ja valtakunnallista sanomalehtisivustoa on käyttänyt haitallista JavaScriptiä, ja siihen vaikuttavat mediaorganisaatiot palvelevat kaupunkeja, kuten Boston, Chicago, Cincinnati, Miami, New York, Palm Beach ja Washington DC. Kuitenkin vain mediasisältöyhtiö, johon vaikutus kohdistuu, tietää koko hyökkäyksen ja sen vaikutuksen tytäryhtiösivustoihin, tutkijat sanoivat.
Twiitissä mainittiin Proofpointin uhkien havaitsemisanalyytikko Pölyinen Miller, vanhempi turvallisuustutkija Kyle Eatonja vanhempi uhkatutkija Andrew Northern hyökkäyksen löytämiseksi ja tutkimiseksi.
Historiallisia linkkejä Evil Corp
FakeUpdates on ensimmäinen haittaohjelma- ja hyökkäyskehys, joka on ollut käytössä ainakin vuodesta 2020 lähtien (mutta mahdollisesti aikaisemmin), joka on aiemmin käyttänyt ohjelmistopäivityksiksi naamioituja latauksia levittämiseen. Se on aiemmin yhdistetty epäillyn venäläisen kyberrikollisjärjestön Evil Corpin toimintaan, jolle Yhdysvaltain hallitus on hyväksynyt viralliset seuraamukset.
Operaattorit isännöivät tyypillisesti haitallista verkkosivustoa, joka suorittaa drive-by-latausmekanismin, kuten JavaScript-koodin lisäyksen tai URL-uudelleenohjauksen, joka puolestaan käynnistää haittaohjelmia sisältävän arkistotiedoston latauksen.
Symantecin tutkijat havaitsivat aiemmin Evil Corp käyttämällä haittaohjelmaa osana ladattavaa hyökkäyssarjaa WastedLocker, sitten uusi kiristysohjelmakanta kohdeverkoissa heinäkuussa 2020.
Drive-by-lataushyökkäysten aalto joka käytti saman vuoden lopulla noudatettua kehystä, jolloin hyökkääjät isännöivät haitallisia latauksia hyödyntämällä iFrame-kehyksiä palvellakseen vaarantuneita verkkosivustoja laillisen sivuston kautta.
Viime aikoina tutkijat sidottu uhkauskampanja FakeUpdate-päivitysten jakaminen Raspberry Robin USB-pohjaisen madon olemassa olevien tartuntojen kautta. Tämä liike merkitsi yhteyttä venäläisen kyberrikollisryhmän ja madon välillä, joka toimii muiden haittaohjelmien lataajana.
Kuinka lähestyä toimitusketjun uhkaa
Proofpointin löytämä kampanja on jälleen yksi esimerkki hyökkääjistä, jotka käyttävät ohjelmistojen toimitusketjua tartuttaakseen koodia, joka on jaettu useille alustoille, laajentaakseen haitallisen hyökkäyksen vaikutusta ilman, että heidän tarvitsee tehdä kovempaa työtä.
Itse asiassa on jo ollut lukuisia esimerkkejä näiden hyökkäysten aaltoiluvaikutuksista, nyt surullisen kuuluisan SolarWinds ja Log4J skenaariot ovat näkyvimpiä.
Edellinen aloitti joulukuun 2020 lopulla rikkomus SolarWinds Orion -ohjelmistossa ja levitä syvälle seuraavaan vuoteen, jossa on useita hyökkäyksiä eri organisaatioissa. Jälkimmäinen saaga paljastui joulukuun 2021 alussa, jolloin löydettiin virhe Log4Shell in laajalti käytetty Java-lokityökalu. Tämä johti useisiin hyväksikäyttöihin ja teki miljoonista sovelluksista alttiita hyökkäyksille, joista monet jää korjaamatta tänään.
Toimitusketjuhyökkäykset ovat yleistyneet niin paljon, että tietoturvapäälliköt etsivät ohjeita niiden ehkäisyyn ja lieventämiseen. yksityissektorin tarjonnut mielellään.
Jälkeen toimeenpaneva määräys Presidentti Biden julkaisi viime vuonna ja ohjasi valtion virastoja parantamaan ohjelmistojen toimitusketjun turvallisuutta ja eheyttä, National Institute for Standards and Technology (NIST) aiemmin tänä vuonna päivitti kyberturvallisuusohjeensa ohjelmistojen toimitusketjun riskien käsittelemiseksi. The julkaisu sisältää räätälöidyt suojausehdotukset eri sidosryhmille, kuten kyberturvallisuusasiantuntijoille, riskienhaltijoille, järjestelmäsuunnittelijoille ja hankintaviranomaisille.
Myös turvallisuusalan ammattilaisilla on tarjosi järjestöille neuvoja toimitusketjun turvaamiseksi paremmin ja suosittelee, että he ottavat nollaluottamusta koskevan lähestymistavan turvallisuuteen, valvovat kolmansien osapuolien kumppaneita enemmän kuin mitään muuta ympäristössä olevaa tahoa ja valitsevat ohjelmistotarpeisiin yhden toimittajan, joka tarjoaa usein koodipäivityksiä.
- blockchain
- cryptocurrency-lompakot
- cryptoexchange
- tietoverkkoturvallisuus
- verkkorikollisille
- tietoverkkojen
- Pimeää luettavaa
- sisäisen turvallisuuden osasto
- digitaaliset lompakot
- palomuuri
- Kaspersky
- haittaohjelmat
- McAfee
- NexBLOC
- Platon
- plato ai
- Platonin tietotieto
- Platon peli
- PlatonData
- platopeliä
- VPN
- verkkosivuilla turvallisuus
