Pelaku ancaman ancaman dunia maya yang dikenal sebagai TA569, atau SocGholish, telah mengkompromikan kode JavaScript yang digunakan oleh penyedia konten media untuk menyebarkan Pembaruan Palsu malware ke outlet media utama di seluruh AS.
Menurut serangkaian tweet dari Proofpoint Threat Research Team yang diposting Rabu malam, para penyerang telah merusak basis kode aplikasi yang digunakan perusahaan yang tidak disebutkan namanya untuk menyajikan video dan iklan ke situs web surat kabar nasional dan regional. Itu serangan rantai pasokan digunakan untuk menyebarkan malware khusus TA569, yang biasanya digunakan untuk membuat jaringan akses awal untuk serangan lanjutan dan pengiriman ransomware.
Deteksi mungkin rumit, para peneliti memperingatkan: "TA569 secara historis menghapus dan memulihkan injeksi JS berbahaya ini secara bergilir," menurut salah satu tweet. โOleh karena itu, keberadaan payload dan konten jahat dapat bervariasi dari jam ke jam dan tidak boleh dianggap sebagai false positive.โ
Lebih dari 250 situs surat kabar regional dan nasional telah mengakses JavaScript berbahaya, dengan organisasi media yang terkena dampak melayani kota-kota seperti Boston, Chicago, Cincinnati, Miami, New York, Palm Beach, dan Washington, DC, menurut Proofpoint. Namun, hanya perusahaan konten media yang terkena dampak yang mengetahui jangkauan penuh serangan dan dampaknya terhadap situs afiliasi, kata para peneliti.
Tweet tersebut mengutip analis deteksi ancaman Proofpoint Miller berdebu, peneliti keamanan senior Kyle Eaton, dan peneliti ancaman senior Andrew Utara untuk penemuan dan penyelidikan serangan itu.
Tautan Sejarah ke Evil Corp
FakeUpdates adalah malware akses awal dan kerangka serangan yang digunakan setidaknya sejak tahun 2020 (tetapi berpotensi lebih awal), yang di masa lalu telah menggunakan unduhan drive-by yang menyamar sebagai pembaruan perangkat lunak untuk disebarkan. Ini sebelumnya telah dikaitkan dengan aktivitas kelompok kejahatan dunia maya Rusia yang dicurigai, Evil Corp, yang secara resmi telah dikenai sanksi oleh pemerintah AS.
Operator biasanya menghosting situs web jahat yang menjalankan mekanisme pengunduhan drive-by โ seperti injeksi kode JavaScript atau pengalihan URL โ yang pada gilirannya memicu pengunduhan file arsip yang berisi malware.
Peneliti Symantec sebelumnya mengamati Evil Corp menggunakan malware sebagai bagian dari urutan serangan untuk mengunduh loker terbuang, lalu jenis ransomware baru, pada jaringan target pada Juli 2020.
Lonjakan serangan unduhan drive-by yang menggunakan kerangka kerja diikuti menjelang akhir tahun itu, dengan penyerang menghosting unduhan berbahaya dengan memanfaatkan iFrames untuk melayani situs web yang disusupi melalui situs yang sah.
Baru-baru ini, para peneliti terikat kampanye ancaman mendistribusikan FakeUpdates melalui infeksi worm berbasis USB Raspberry Robin yang ada, sebuah langkah yang menandakan hubungan antara kelompok penjahat dunia maya Rusia dan worm, yang bertindak sebagai pemuat untuk malware lainnya.
Bagaimana Mendekati Ancaman Rantai Pasokan
Kampanye yang ditemukan oleh Proofpoint adalah contoh lain dari penyerang yang menggunakan rantai pasokan perangkat lunak untuk menginfeksi kode yang dibagikan di berbagai platform, untuk memperluas dampak serangan jahat tanpa harus bekerja lebih keras.
Memang, sudah ada banyak contoh efek riak yang bisa dimiliki serangan ini, dengan yang sekarang terkenal SuryaAngin dan Log4j skenario menjadi salah satu yang paling menonjol.
Yang pertama dimulai pada akhir Desember 2020 dengan pelanggaran dalam perangkat lunak Orion SolarWinds dan menyebar jauh ke tahun berikutnya, dengan beberapa serangan di berbagai organisasi. Kisah terakhir dibuka pada awal Desember 2021, dengan penemuan cacat yang dijuluki Log4Shell in alat logging Java yang banyak digunakan. Itu memicu banyak eksploitasi dan membuat jutaan aplikasi rentan terhadap serangan, banyak di antaranya tetap tidak tertambal hari ini.
Serangan rantai pasokan telah menjadi begitu lazim sehingga administrator keamanan mencari panduan tentang cara mencegah dan menguranginya, yang baik oleh publik maupun sektor swasta telah dengan senang hati menawarkan.
Berikut perintah eksekutif dikeluarkan oleh Presiden Biden tahun lalu mengarahkan lembaga pemerintah untuk meningkatkan keamanan dan integritas rantai pasokan perangkat lunak, Institut Nasional untuk Standar dan Teknologi (NIST) awal tahun ini memperbarui panduan keamanan sibernya untuk mengatasi risiko rantai pasokan perangkat lunak. Itu publikasi termasuk serangkaian kontrol keamanan yang disarankan untuk berbagai pemangku kepentingan, seperti spesialis keamanan siber, manajer risiko, insinyur sistem, dan pejabat pengadaan.
Profesional keamanan juga memiliki menawarkan saran organisasi tentang cara mengamankan rantai pasokan dengan lebih baik, merekomendasikan agar mereka mengambil pendekatan tanpa kepercayaan terhadap keamanan, memantau mitra pihak ketiga lebih dari entitas lain mana pun dalam suatu lingkungan, dan memilih satu pemasok untuk kebutuhan perangkat lunak yang sering menawarkan pembaruan kode.
