שחקן איומי הסייבר המכונה TA569, או SocGholish, התפשר על קוד JavaScript המשמש ספק תוכן מדיה על מנת להפיץ את עדכונים מזויפים תוכנה זדונית לכלי תקשורת גדולים ברחבי ארה"ב.
פי סדרה של טוויטים מצוות המחקר של Proofpoint Threat פורסם ביום רביעי מאוחר, התוקפים התעסקו בבסיס הקוד של אפליקציה שהחברה ללא שם משתמשת בה כדי להגיש וידאו ופרסום לאתרי עיתונים לאומיים ואזוריים. ה התקפת שרשרת האספקה משמש להפצת תוכנות זדוניות מותאמות אישית של TA569, אשר משמשות בדרך כלל להקמת רשת גישה ראשונית להתקפות עוקבות ומשלוח תוכנות כופר.
זיהוי עשוי להיות מסובך, הזהירו החוקרים: "TA569 הוסרה והחזירה את זריקות ה-JS הזדוניות הללו באופן היסטורי על בסיס סיבובי", לפי אחד הציוצים. "לכן הנוכחות של המטען והתוכן הזדוני יכולים להשתנות משעה לשעה, ואין לראות בהם כחיובי שגוי."
יותר מ-250 אתרי עיתונים אזוריים וארציים ניגשו ל-JavaScript הזדוני, עם ארגוני מדיה מושפעים המשרתים ערים כמו בוסטון, שיקגו, סינסינטי, מיאמי, ניו יורק, פאלם ביץ' וושינגטון הבירה, לפי פרופוינט. עם זאת, רק חברת תוכן המדיה המושפעת יודעת את כל טווח ההתקפה והשפעתה על אתרי שותפים, אמרו החוקרים.
הציוצים ציטטו אנליסט זיהוי איומים של Proofpoint מאובק מילר, חוקר אבטחה בכיר קייל איטון, וחוקר איומים בכיר אנדרו נורת'רן לגילוי וחקירת הפיגוע.
קישורים היסטוריים ל-Evil Corp
FakeUpdates היא מסגרת תוכנה זדונית ותקיפה ראשונית בשימוש מאז 2020 לפחות (אבל פוטנציאלי מוקדם יותר), שבעבר השתמשה בהורדות של Drive-by המתחזות לעדכוני תוכנה כדי להפיץ. זה נקשר בעבר לפעילות של קבוצת החשודים בפשעי סייבר רוסית Evil Corp, שקיבלה סנקציה רשמית על ידי ממשלת ארה"ב.
המפעילים מארחים בדרך כלל אתר זדוני שמפעיל מנגנון הורדה של Drive-by - כגון הזרקת קוד JavaScript או הפניות מחדש של URL - אשר בתורו מפעיל הורדה של קובץ ארכיון המכיל תוכנות זדוניות.
חוקרי סימנטק צפו בעבר ב-Evil Corp באמצעות תוכנה זדונית כחלק מרצף תקיפה להורדה WastedLocker, אז זן חדש של תוכנת כופר, ברשתות יעד עוד ביולי 2020.
גל של התקפות הורדות מונעות שהשתמשו במסגרת שהלכה בעקבותיה לקראת סוף אותה שנה, כאשר התוקפים מארחים הורדות זדוניות על ידי מינוף iFrames לשרת אתרים שנפגעו דרך אתר לגיטימי.
לאחרונה, חוקרים קשרו מסע איומים הפצת FakeUpdates באמצעות זיהומים קיימים של התולעת מבוססת Raspberry Robin USB, מהלך שסימן קישור בין קבוצת פושעי הסייבר הרוסית לבין התולעת, הפועלת כמטעין עבור תוכנות זדוניות אחרות.
כיצד לגשת לאיום שרשרת האספקה
מסע הפרסום שגילה Proofpoint הוא עוד דוגמה לתוקפים שמשתמשים בשרשרת האספקה של התוכנה כדי להדביק קוד המשותף על פני מספר פלטפורמות, כדי להרחיב את ההשפעה של התקפה זדונית מבלי לעבוד קשה יותר.
אכן, כבר היו דוגמאות רבות להשפעת האדווה שיכולות להיות להתקפות הללו, עם הידוע לשמצה כיום השמש ו Log4J תרחישים הם מהבולטים ביותר.
הראשון התחיל בסוף דצמבר 2020 עם הפרה בתוכנת SolarWinds Orion ולהפיץ עמוק לתוך השנה הבאה, עם התקפות מרובות על פני ארגונים שונים. הסאגה האחרונה התפתחה בתחילת דצמבר 2021, עם גילוי פגם שכונה Log4Shell in כלי רישום Java בשימוש נרחב. זה דרבן ניצולים רבים והפך מיליוני יישומים לפגיעים להתקפות, רבים מהם להישאר ללא תיקון היום.
התקפות שרשרת האספקה הפכו נפוצות עד כדי כך שמנהלי אבטחה מחפשים הדרכה כיצד למנוע ולצמצם אותן, אשר הן הציבור והן המגזר הפרטי שמחו להציע.
הבא צו ביצוע שהוצא על ידי הנשיא ביידן בשנה שעברה בהנחה סוכנויות ממשלתיות לשפר את האבטחה והשלמות של שרשרת אספקת התוכנה, המכון הלאומי לתקנים וטכנולוגיה (NIST) מוקדם יותר השנה עדכן את הנחיות אבטחת הסייבר שלה לטיפול בסיכון שרשרת האספקה של תוכנה. ה פרסום כולל סטים מותאמים של בקרות אבטחה מוצעות לבעלי עניין שונים, כגון מומחי אבטחת סייבר, מנהלי סיכונים, מהנדסי מערכות ופקידי רכש.
גם לאנשי אבטחה יש הציע ייעוץ לארגונים כיצד לאבטח טוב יותר את שרשרת האספקה, ממליצה לנקוט בגישה אפס אמון באבטחה, לפקח על שותפי צד שלישי יותר מכל ישות אחרת בסביבה, ולבחור ספק אחד לצרכי תוכנה המציע עדכוני קוד תכופים.
