TA569 또는 SocGholish로 알려진 사이버 위협 위협 행위자는 미디어 콘텐츠 공급자가 사용하는 JavaScript 코드를 손상시켜 가짜 업데이트 미국 전역의 주요 언론 매체에 대한 악성 코드.
A에 따라 일련의 트윗 수요일 늦게 게시된 Proofpoint Threat Research Team에서 공격자들은 익명의 회사가 전국 및 지역 신문 웹사이트에 비디오 및 광고를 제공하는 데 사용하는 애플리케이션의 코드베이스를 변조했습니다. 그만큼 공급망 공격 일반적으로 후속 공격 및 랜섬웨어 전달을 위한 초기 액세스 네트워크를 구축하는 데 사용되는 TA569의 맞춤형 악성 코드를 확산시키는 데 사용되고 있습니다.
연구원들은 탐지가 까다로울 수 있다고 경고했습니다. 트윗 중 하나에 따르면 "TA569는 역사적으로 이러한 악성 JS 주입을 교대로 제거하고 복원했습니다."라고 경고했습니다. "따라서 페이로드와 악성 콘텐츠의 존재는 시간마다 다를 수 있으며 오탐으로 간주되어서는 안 됩니다."
Proofpoint에 따르면 250개 이상의 지역 및 전국 신문 사이트에서 악성 JavaScript에 액세스했으며 영향을 받은 미디어 조직은 보스턴, 시카고, 신시내티, 마이애미, 뉴욕, 팜 비치, 워싱턴 DC와 같은 도시에 서비스를 제공하고 있습니다. 그러나 영향을 받은 미디어 콘텐츠 회사만이 공격의 전체 범위와 제휴 사이트에 미치는 영향을 알고 있다고 연구원들은 말했습니다.
트윗은 Proofpoint 위협 탐지 분석가를 인용했습니다. 더스티 밀러, 선임 보안 연구원 카일 이튼, 선임 위협 연구원 앤드류 노던 공격의 발견 및 조사를 위해.
Evil Corp에 대한 역사적 링크
FakeUpdates는 최소 2020년부터 사용 중인 초기 액세스 멀웨어 및 공격 프레임워크입니다(그러나 잠재적으로 더 일찍), 과거에는 소프트웨어 업데이트로 위장한 드라이브 바이 다운로드를 사용하여 전파했습니다. 이전에는 미국 정부의 공식 제재를 받은 러시아 사이버 범죄 단체인 Evil Corp의 활동과 관련이 있었습니다.
운영자는 일반적으로 JavaScript 코드 주입 또는 URL 리디렉션과 같은 드라이브 바이 다운로드 메커니즘을 실행하는 악성 웹 사이트를 호스팅하며, 이는 차례로 맬웨어가 포함된 아카이브 파일의 다운로드를 트리거합니다.
시만텍 연구원들은 이전에 Evil Corp을 관찰했습니다. 악성코드를 사용하여 다운로드할 공격 시퀀스의 일부로 웨이스트락커, 2020년 XNUMX월 대상 네트워크에서 새로운 랜섬웨어 변종.
드라이브 바이 다운로드 공격 급증 프레임워크를 사용한 공격자들은 그해 말에 이어 공격자들이 합법적인 사이트를 통해 손상된 웹사이트에 서비스를 제공하기 위해 iFrames를 활용하여 악성 다운로드를 호스팅했습니다.
최근에는 연구자들이 공동 위협 캠페인 Raspberry Robin USB 기반 웜의 기존 감염을 통해 FakeUpdate를 배포합니다. 이는 러시아 사이버 범죄 그룹과 다른 맬웨어의 로더 역할을 하는 웜 사이의 연결을 의미하는 움직임입니다.
공급망 위협에 접근하는 방법
Proofpoint가 발견한 캠페인은 공격자가 소프트웨어 공급망을 사용하여 여러 플랫폼에서 공유되는 코드를 감염시키고 더 열심히 노력하지 않고도 악의적인 공격의 영향을 확대하는 또 다른 예입니다.
실제로 이러한 공격이 미칠 수 있는 파급 효과에 대한 수많은 예가 이미 있습니다. SolarWinds 과 로그4J 가장 눈에 띄는 시나리오 중 하나입니다.
전자는 2020년 XNUMX월 말에 위반 SolarWinds Orion 소프트웨어 및 확산 내년에 깊숙이, 다양한 조직에 걸친 다중 공격. 후자의 사가는 2021년 XNUMX월 초에 결함이 발견되면서 전개되었습니다. Log4Shell in 널리 사용되는 Java 로깅 도구. 이로 인해 여러 익스플로잇이 발생했고 수백만 개의 애플리케이션이 공격에 취약해졌습니다. 패치되지 않은 상태로 유지 .
공급망 공격이 널리 퍼져 보안 관리자는 이를 방지하고 완화하는 방법에 대한 지침을 찾고 있습니다. 민간 부문 제공하게 되어 기쁩니다.
수행원 행정 명령 지난해 Biden 대통령이 정부 기관에 소프트웨어 공급망의 보안과 무결성을 개선하도록 지시한 NIST(National Institute for Standards and Technology)는 올해 초 사이버 보안 지침 업데이트 소프트웨어 공급망 위험을 해결하기 위해. 그만큼 출판 사이버 보안 전문가, 위험 관리자, 시스템 엔지니어 및 조달 담당자와 같은 다양한 이해 관계자를 위한 맞춤형 보안 제어 세트가 포함됩니다.
보안 전문가들도 조직에 조언 제공 보안에 대한 제로 트러스트 접근 방식을 취하고 환경의 다른 어떤 엔터티보다 제XNUMX자 파트너를 더 많이 모니터링하고 빈번한 코드 업데이트를 제공하는 소프트웨어 요구 사항에 대해 하나의 공급업체를 선택하도록 권장합니다.
