L'autore della minaccia informatica noto come TA569, o SocGholish, ha compromesso il codice JavaScript utilizzato da un fornitore di contenuti multimediali per diffondere il Aggiornamenti falsi malware ai principali media negli Stati Uniti.
Secondo un serie di tweet dal Proofpoint Threat Research Team pubblicato mercoledì scorso, gli aggressori hanno manomesso il codice base di un'applicazione che la società anonima utilizza per fornire video e pubblicità ai siti web di giornali nazionali e regionali. IL attacco alla catena di approvvigionamento viene utilizzato per diffondere il malware personalizzato TA569, che viene generalmente utilizzato per stabilire una rete di accesso iniziale per attacchi successivi e distribuzione di ransomware.
Il rilevamento potrebbe essere complicato, hanno avvertito i ricercatori: "Storicamente TA569 ha rimosso e ripristinato questi JS inject dannosi a rotazione", secondo uno dei tweet. "Pertanto la presenza del payload e del contenuto dannoso può variare di ora in ora e non deve essere considerata un falso positivo."
Secondo Proofpoint, più di 250 siti di giornali regionali e nazionali hanno avuto accesso al JavaScript dannoso, con organizzazioni mediatiche colpite che servono città come Boston, Chicago, Cincinnati, Miami, New York, Palm Beach e Washington, DC. Tuttavia, solo la società di contenuti multimediali colpita conosce l'intera portata dell'attacco e il suo impatto sui siti affiliati, hanno affermato i ricercatori.
I tweet citavano l'analista di rilevamento delle minacce di Proofpoint Mugnaio polveroso, ricercatore senior in materia di sicurezza Kyle Eatone ricercatore senior sulle minacce Andrea Nord per la scoperta e l'indagine sull'attacco.
Collegamenti storici con Evil Corp
FakeUpdates è un malware di accesso iniziale e un framework di attacco in uso almeno dal 2020 (ma potenzialmente prima), che in passato utilizzava download drive-by mascherati da aggiornamenti software per propagarsi. In precedenza è stato collegato all'attività del presunto gruppo russo di criminalità informatica Evil Corp, che è stato formalmente sanzionato dal governo degli Stati Uniti.
Gli operatori in genere ospitano un sito Web dannoso che esegue un meccanismo di download drive-by, come iniezioni di codice JavaScript o reindirizzamenti URL, che a sua volta attiva il download di un file di archivio che contiene malware.
I ricercatori Symantec avevano già osservato Evil Corp utilizzando il malware come parte di una sequenza di attacco da scaricare Armadietto sprecato, poi un nuovo ceppo di ransomware, sulle reti prese di mira nel luglio 2020.
Un’ondata di attacchi di download drive-by che utilizzava il framework seguito verso la fine di quell'anno, con gli aggressori che ospitavano download dannosi sfruttando iFrames per servire siti Web compromessi tramite un sito legittimo.
Più recentemente, i ricercatori hanno pareggiato una campagna di minaccia distribuire FakeUpdates attraverso le infezioni esistenti del worm basato su USB Raspberry Robin, una mossa che indica un collegamento tra il gruppo criminale informatico russo e il worm, che funge da caricatore per altro malware.
Come affrontare la minaccia della catena di fornitura
La campagna scoperta da Proofpoint è un altro esempio di aggressori che utilizzano la catena di fornitura del software per infettare codice condiviso su più piattaforme, per ampliare l’impatto di attacchi dannosi senza dover lavorare di più.
In effetti, ci sono già stati numerosi esempi dell’effetto a catena che questi attacchi possono avere, tra cui quello ormai famigerato SolarWinds ed Log4J gli scenari sono tra i più importanti.
Il primo è iniziato a fine dicembre 2020 con una falla nel software SolarWinds Orion e diffuso nel profondo del prossimo anno, con attacchi multipli a varie organizzazioni. Quest'ultima saga si è svolta all'inizio di dicembre 2021, con la scoperta di un difetto soprannominato Log4Shell in uno strumento di registrazione Java ampiamente utilizzato. Ciò ha stimolato molteplici exploit e reso milioni di applicazioni vulnerabili agli attacchi, molti dei quali rimangono senza patch oggi.
Gli attacchi alla catena di fornitura sono diventati così diffusi che gli amministratori della sicurezza sono alla ricerca di indicazioni su come prevenirli e mitigarli, cosa che sia il pubblico che settore privato sono stato felice di offrire.
A seguire un ordine esecutivo emanato dal presidente Biden l'anno scorso, ordinando alle agenzie governative di migliorare la sicurezza e l'integrità della catena di fornitura del software, il National Institute for Standards and Technology (NIST) all'inizio di quest'anno ha aggiornato le sue linee guida sulla sicurezza informatica per affrontare il rischio della catena di fornitura del software. IL pubblicazione include serie su misura di controlli di sicurezza suggeriti per varie parti interessate, come specialisti di sicurezza informatica, gestori del rischio, ingegneri di sistema e funzionari degli appalti.
Anche i professionisti della sicurezza hanno ha offerto consulenza alle organizzazioni su come proteggere meglio la catena di fornitura, raccomandando loro di adottare un approccio zero-trust alla sicurezza, monitorare i partner di terze parti più di qualsiasi altra entità in un ambiente e scegliere un fornitore per le esigenze software che offra frequenti aggiornamenti del codice.
- blockchain
- portafogli di criptovaluta
- cryptoexchange
- sicurezza informatica
- i criminali informatici
- Cybersecurity
- Lettura oscura
- Dipartimento di Sicurezza Nazionale
- portafogli digitali
- firewall
- Kaspersky
- il malware
- Mcafee
- NextBLOC
- Platone
- platone ai
- Platone Data Intelligence
- Gioco di Platone
- PlatoneDati
- gioco di plato
- VPN
- sicurezza del sito Web
