L'acteur de la cybermenace connu sous le nom de TA569, ou SocGholish, a compromis le code JavaScript utilisé par un fournisseur de contenu multimédia afin de diffuser le message. Fausses mises à jour des logiciels malveillants aux principaux médias à travers les États-Unis.
D’après une série de tweets D'après l'équipe de recherche sur les menaces Proofpoint publiée mercredi soir, les attaquants ont falsifié la base de code d'une application que la société anonyme utilise pour diffuser des vidéos et de la publicité sur les sites Web de journaux nationaux et régionaux. Le attaque de la chaîne d'approvisionnement est utilisé pour propager le malware personnalisé de TA569, qui est généralement utilisé pour établir un réseau d’accès initial pour les attaques ultérieures et la diffusion de ransomwares.
La détection pourrait être délicate, ont prévenu les chercheurs : "TA569 a historiquement supprimé et rétabli ces injections JS malveillantes à tour de rôle", selon l'un des tweets. « Par conséquent, la présence de la charge utile et du contenu malveillant peut varier d’heure en heure et ne doit pas être considérée comme un faux positif. »
Plus de 250 sites de journaux régionaux et nationaux ont accédé au code JavaScript malveillant, ce qui a touché des organisations médiatiques desservant des villes telles que Boston, Chicago, Cincinnati, Miami, New York, Palm Beach et Washington, DC, selon Proofpoint. Cependant, seule la société de contenu multimédia concernée connaît toute l'ampleur de l'attaque et son impact sur les sites affiliés, ont indiqué les chercheurs.
Les tweets citent l'analyste de détection des menaces de Proofpoint Miller poussiéreux, chercheur principal en sécurité Kyle Eaton, et chercheur principal en menaces André Nord pour la découverte et l'enquête sur l'attaque.
Liens historiques avec Evil Corp
FakeUpdates est un logiciel malveillant d'accès initial et un cadre d'attaque utilisé depuis au moins 2020 (mais potentiellement plus tôt), qui, dans le passé, utilisait des téléchargements drive-by se faisant passer pour des mises à jour logicielles pour se propager. Cela a déjà été lié aux activités du groupe de cybercriminalité russe présumé Evil Corp, qui a été officiellement sanctionné par le gouvernement américain.
Les opérateurs hébergent généralement un site Web malveillant qui exécute un mécanisme de téléchargement drive-by (tel que des injections de code JavaScript ou des redirections d'URL), ce qui déclenche à son tour le téléchargement d'un fichier d'archive contenant un malware.
Les chercheurs de Symantec ont déjà observé Evil Corp utiliser le logiciel malveillant dans le cadre d'une séquence d'attaque à télécharger GaspilléCasier, puis une nouvelle souche de ransomware, sur les réseaux cibles en juillet 2020.
Une vague d’attaques par téléchargement au volant qui utilisait le framework suivi vers la fin de cette année, les attaquants hébergeant des téléchargements malveillants en exploitant les iFrames pour diffuser des sites Web compromis via un site légitime.
Plus récemment, des chercheurs ont lié une campagne de menace en distribuant des FakeUpdates via des infections existantes du ver USB Raspberry Robin, une décision qui signifiait un lien entre le groupe cybercriminel russe et le ver, qui agit comme un chargeur pour d'autres logiciels malveillants.
Comment aborder la menace de la chaîne d’approvisionnement
La campagne découverte par Proofpoint est un autre exemple d'attaquants utilisant la chaîne d'approvisionnement logicielle pour infecter le code partagé sur plusieurs plates-formes, afin d'élargir l'impact d'une attaque malveillante sans avoir à travailler plus dur.
En effet, il existe déjà de nombreux exemples de l’effet d’entraînement que ces attaques peuvent avoir, avec le désormais tristement célèbre SolarWinds ainsi que Log4J les scénarios étant parmi les plus importants.
Le premier a débuté fin décembre 2020 avec une brèche dans le logiciel SolarWinds Orion et diffuser au plus profond de l'année prochaine, avec de multiples attaques dans diverses organisations. Cette dernière saga s'est déroulée début décembre 2021, avec la découverte d'une faille baptisée Log4Shell in un outil de journalisation Java largement utilisé. Cela a donné lieu à de multiples exploits et a rendu des millions d'applications vulnérables aux attaques, dont beaucoup rester sans patch dès aujourd’hui.
Les attaques contre la chaîne d'approvisionnement sont devenues si répandues que les administrateurs de sécurité recherchent des conseils sur la manière de les prévenir et de les atténuer, ce que le public et secteur privé ont été heureux de vous offrir.
Following un ordre exécutif publié l'année dernière par le président Biden ordonnant aux agences gouvernementales d'améliorer la sécurité et l'intégrité de la chaîne d'approvisionnement en logiciels, le National Institute for Standards and Technology (NIST) plus tôt cette année a mis à jour ses directives en matière de cybersécurité pour faire face aux risques liés à la chaîne d’approvisionnement logicielle. Le publication comprend des ensembles personnalisés de contrôles de sécurité suggérés pour diverses parties prenantes, telles que les spécialistes de la cybersécurité, les gestionnaires de risques, les ingénieurs système et les responsables des achats.
Les professionnels de la sécurité ont également offert des conseils aux organisations sur la façon de mieux sécuriser la chaîne d'approvisionnement, en leur recommandant d'adopter une approche de sécurité zéro confiance, de surveiller les partenaires tiers plus que toute autre entité dans un environnement et de choisir un fournisseur pour les besoins logiciels qui propose des mises à jour fréquentes du code.
- blockchain
- portefeuilles de crypto-monnaie
- cryptoexchange
- la cyber-sécurité
- les cybercriminels
- Cybersécurité
- Lecture sombre
- département de la Sécurité intérieure
- portefeuilles numériques
- pare-feu
- Kaspersky
- malware
- Mcafee
- NexBLOC
- Platon
- platon ai
- Intelligence des données Platon
- Jeu de Platon
- PlatonDonnées
- jeu de platogamie
- VPN
- la sécurité d'un site web
