TA569 (SocGholish) として知られるサイバー脅威の脅威アクターは、メディア コンテンツ プロバイダーが使用する JavaScript コードを侵害して、 フェイクアップデート マルウェアは、米国中の主要なメディア アウトレットに送信されます。
によると、 一連のつぶやき 水曜日遅くに投稿された Proofpoint Threat Research Team によると、攻撃者は、無名の会社が全国および地域の新聞 Web サイトにビデオと広告を配信するために使用するアプリケーションのコードベースを改ざんしました。 の サプライチェーン攻撃 TA569 のカスタム マルウェアを拡散するために使用されています。これは通常、後続の攻撃とランサムウェア配信のための初期アクセス ネットワークを確立するために使用されます。
ツイートの 569 つによると、「TAXNUMX は歴史的に、これらの悪意のある JS インジェクションを順番に削除し、元に戻しました」と、研究者は警告しています。 「したがって、ペイロードと悪意のあるコンテンツの存在は時間ごとに変化する可能性があり、誤検知と見なすべきではありません。」
Proofpoint によると、250 を超える地域および全国の新聞サイトが悪意のある JavaScript にアクセスしており、影響を受けたメディア組織は、ボストン、シカゴ、シンシナティ、マイアミ、ニューヨーク、パーム ビーチ、ワシントン DC などの都市にサービスを提供しています。 しかし、影響を受けたメディア コンテンツ企業だけが、攻撃の全容とアフィリエイト サイトへの影響を知っている、と研究者は述べています。
Proofpoint 脅威検出アナリストが引用したツイート ダスティ・ミラー、上級セキュリティ研究者 カイル・イートン、上級脅威研究者 アンドリュー・ノーザン 攻撃の発見と調査のため。
Evil Corp への歴史的リンク
FakeUpdates は、少なくとも 2020 年から使用されている初期アクセス マルウェアおよび攻撃フレームワークです (ただし、 潜在的に早い)、これまでは、ソフトウェアの更新を装ったドライブバイ ダウンロードを使用して伝播していました。 これは以前、ロシアのサイバー犯罪グループであると疑われる Evil Corp による活動に関連付けられていました。Evil Corp は、米国政府によって正式に制裁を受けています。
オペレーターは通常、ドライブバイ ダウンロード メカニズム (JavaScript コード インジェクションや URL リダイレクトなど) を実行する悪意のある Web サイトをホストし、マルウェアを含むアーカイブ ファイルのダウンロードをトリガーします。
シマンテックの研究者は以前、Evil Corp を観察していました マルウェアの使用 ダウンロードする攻撃シーケンスの一部として 浪費ロッカー、その後 2020 年 XNUMX 月にターゲット ネットワークで発生した新しいランサムウェアの亜種です。
ドライブバイダウンロード攻撃の急増 攻撃者は、iFrame を利用して、侵害された Web サイトを正規のサイト経由で提供することにより、悪意のあるダウンロードをホストしていました。
より最近では、研究者は結ばれました 脅威キャンペーン USB ベースの Raspberry Robin ワームの既存の感染を通じて FakeUpdate を配布しました。これは、ロシアのサイバー犯罪グループと、他のマルウェアのローダーとして機能するこのワームとの間のリンクを意味する動きでした。
サプライチェーンの脅威にアプローチする方法
Proofpoint が発見したキャンペーンは、攻撃者がソフトウェア サプライ チェーンを利用して、複数のプラットフォームで共有されているコードに感染し、悪意のある攻撃の影響を拡大するもう XNUMX つの例です。
実際、これらの攻撃が及ぼす波及効果の例はすでに数多くあります。 SolarWinds & Log4J シナリオは最も顕著なものの XNUMX つです。
前者は2020年XNUMX月下旬に開始 違反 SolarWinds Orion ソフトウェアとスプレッド 翌年の奥深く、さまざまな組織全体で複数の攻撃が行われています。 後者の物語は 2021 年 XNUMX 月初旬に展開され、ダビングされた欠陥が発見されました。 ログ4シェル in 広く使用されている Java ロギング ツール. これにより、複数のエクスプロイトが発生し、何百万ものアプリケーションが攻撃に対して脆弱になりました。 パッチを当てないままにする 。
サプライ チェーンへの攻撃が非常に蔓延しているため、セキュリティ管理者はそれらを防止および軽減する方法についてのガイダンスを探しています。 民間企業 喜んで提供してきました。
フォロー 行政命令 昨年、バイデン大統領が発行した、ソフトウェア サプライ チェーンのセキュリティと完全性を改善するよう政府機関に指示する、国立標準技術研究所 (NIST) は、今年初めに サイバーセキュリティガイダンスを更新 ソフトウェアサプライチェーンのリスクに対処するため。 の 出版物 サイバーセキュリティの専門家、リスク管理者、システム エンジニア、調達担当者など、さまざまな利害関係者向けに調整された一連の提案されたセキュリティ コントロールが含まれています。
セキュリティの専門家も 提供された組織のアドバイス サプライ チェーンをより安全に保護する方法について説明し、セキュリティに対してゼロトラスト アプローチを採用すること、環境内の他のどのエンティティよりもサードパーティ パートナーを監視すること、および頻繁なコード更新を提供するソフトウェア ニーズに対して XNUMX つのサプライヤーを選択することを推奨しています。
