A TA569 vagy SocGholish néven ismert kiberfenyegetések szereplője feltörte a médiatartalom-szolgáltató által használt JavaScript-kódot a FakeUpdates rosszindulatú programokat a nagyobb médiákhoz az Egyesült Államokban.
A találmány egy sorozat tweets a Proofpoint Threat Research Team szerdán későn közzétett közleménye szerint a támadók megzavarták egy olyan alkalmazás kódbázisát, amelyet a meg nem nevezett cég arra használ, hogy videókat és hirdetéseket szolgáltasson ki országos és regionális újságok webhelyein. A ellátási lánc támadás is being used to spread TA569’s custom malware, which is typically employed to establish an initial access network for follow-on attacks and ransomware delivery.
Detection might be tricky, the researchers warned: “TA569 historically removed and reinstated these malicious JS injects on a rotating basis,” according to one of the tweets. “Therefore the presence of the payload and malicious content can vary from hour to hour and shouldn’t be considered a false positive.”
A Proofpoint szerint több mint 250 regionális és országos újságoldal érte el a rosszindulatú JavaScriptet, és az érintett médiaszervezetek olyan városokat szolgálnak ki, mint Boston, Chicago, Cincinnati, Miami, New York, Palm Beach és Washington DC. A kutatók szerint azonban csak az érintett médiatartalom-cég ismeri a támadás teljes körét és annak a társult webhelyekre gyakorolt hatását.
A tweetekben a Proofpoint fenyegetésészlelő elemzőjére hivatkoztak Poros Miller, vezető biztonsági kutató Kyle Eatonés vezető fenyegetéskutató Andrew North a támadás felderítésére és kivizsgálására.
Történelmi linkek az Evil Corp.-hoz
A FakeUpdates egy kezdeti hozzáférésű rosszindulatú program és támadási keretrendszer, amelyet legalább 2020 óta használnak (de esetleg korábban), amely korábban a szoftverfrissítéseknek álcázott drive-by letöltéseket használta a terjedéshez. Korábban összefüggésbe hozták a feltételezett orosz kiberbűnözéssel foglalkozó Evil Corp tevékenységével, amelyet az Egyesült Államok kormánya hivatalosan szankcionált.
Az üzemeltetők általában olyan rosszindulatú webhelyeket tárolnak, amelyek drive-by letöltési mechanizmust hajtanak végre – például JavaScript-kód-injektálást vagy URL-átirányítást –, amely viszont egy rosszindulatú programot tartalmazó archív fájl letöltését indítja el.
A Symantec kutatói korábban megfigyelték az Evil Corp a rosszindulatú program használatával egy letöltendő támadássorozat részeként WastedLocker, majd egy új ransomware-törzs, a célhálózatokon még 2020 júliusában.
A drive-by letöltési támadások rohama amely az év vége felé követett keretrendszert használta, és a támadók rosszindulatú letöltéseket tároltak az iFrame-ek felhasználásával, hogy legitim webhelyen keresztül szolgálják ki a feltört webhelyeket.
Újabban a kutatók döntetlenre fenyegető kampány a FakeUpdates terjesztése a Raspberry Robin USB-alapú féreg meglévő fertőzésein keresztül. Ez a lépés az orosz kiberbűnözői csoport és a más rosszindulatú programok betöltőjeként működő féreg közötti kapcsolatot jelezte.
Hogyan közelítsük meg az ellátási láncot fenyegető veszélyt
The campaign discovered by Proofpoint is yet another example of attackers using the software supply chain to infect code that’s shared across multiple platforms, to broaden the impact of malicious attack without having to work any harder.
Valójában számos példa volt már arra, hogy ezek a támadások milyen hullámzó hatást gyakorolhatnak, a mára hírhedt SolarWinds és a Log4J forgatókönyvek a legkiemelkedőbbek közé tartoznak.
Az előbbi 2020 december végén indult megsértése a SolarWinds Orion szoftverben és elterjedt a következő év mélyére, többféle támadással különböző szervezeteken keresztül. Ez utóbbi saga 2021 decemberének elején bontakozott ki, egy hiba felfedezésével Log4Shell in széles körben használt Java naplózó eszköz. Ez többszörös kizsákmányolásra ösztönzött, és alkalmazások millióit tette sebezhetővé a támadásokkal szemben, amelyek közül sok foltozatlan marad Ma.
Az ellátási lánc támadásai annyira elterjedtek, hogy a biztonsági adminisztrátorok útmutatást keresnek ezek megelőzésére és mérséklésére vonatkozóan, amit mind a nyilvánosság, mind a magánszektor örömmel kínáltak.
Következő végrehajtó végzés Biden elnök adta ki tavaly, amely az év elején a Nemzeti Szabványügyi és Technológiai Intézetet (NIST) a szoftverellátási lánc biztonságának és integritásának javítására utasította a kormányzati szerveket. frissítette kiberbiztonsági útmutatóját a szoftverellátási lánc kockázatának kezelésére. A kiadvány személyre szabott javasolt biztonsági ellenőrzéseket tartalmaz a különböző érdekelt felek, például kiberbiztonsági szakértők, kockázatkezelők, rendszermérnökök és beszerzési tisztviselők számára.
A biztonsági szakemberek is tanácsot adott a szervezeteknek az ellátási lánc jobb biztonságának mikéntjéről, javasolva nekik, hogy a biztonság zéró bizalmi megközelítését alkalmazzák, jobban figyeljék a külső partnereket, mint bármely más entitást egy környezetben, és válasszanak egy olyan beszállítót a szoftverigényekhez, amely gyakori kódfrissítéseket kínál.
