De cyberbedreigingsacteur bekend als TA569, of SocGholish, heeft JavaScript-code gecompromitteerd die door een aanbieder van media-inhoud wordt gebruikt om de Nepupdates malware naar grote mediakanalen in de VS.
Volgens een reeks tweets van het Proofpoint Threat Research Team dat eind woensdag werd gepost, hebben de aanvallers geknoeid met de codebase van een applicatie die het naamloze bedrijf gebruikt om video en advertenties weer te geven op nationale en regionale krantenwebsites. De supply chain-aanval wordt gebruikt om de aangepaste malware van TA569 te verspreiden, die doorgaans wordt gebruikt om een โโinitieel toegangsnetwerk tot stand te brengen voor vervolgaanvallen en ransomware-levering.
Detectie zou lastig kunnen zijn, waarschuwden de onderzoekers: โTA569 heeft deze kwaadaardige JS-injecties in het verleden op een roterende basis verwijderd en opnieuw geรฏnstalleerdโ, aldus een van de tweets. โDaarom kan de aanwezigheid van de payload en kwaadaardige inhoud van uur tot uur variรซren en mag niet als vals positief worden beschouwd.โ
Volgens Proofpoint hebben meer dan 250 regionale en nationale krantensites toegang gekregen tot het kwaadaardige JavaScript, waarbij getroffen mediaorganisaties steden als Boston, Chicago, Cincinnati, Miami, New York, Palm Beach en Washington, DC bedienen. Alleen het getroffen media-inhoudbedrijf kent echter het volledige bereik van de aanval en de impact ervan op aangesloten sites, aldus de onderzoekers.
De tweets citeerden de Proofpoint-bedreigingsdetectieanalist Stoffige Miller, senior veiligheidsonderzoeker Kyle Eatonen senior dreigingsonderzoeker Andreas Noord voor de ontdekking en het onderzoek van de aanval.
Historische banden met Evil Corp
FakeUpdates is een malware- en aanvalsframework voor initiรซle toegang dat al sinds 2020 in gebruik is mogelijk eerder), dat in het verleden gebruik maakte van drive-by downloads die zich voordeden als software-updates om zich te verspreiden. Het werd eerder in verband gebracht met activiteiten van de vermoedelijke Russische cybercriminaliteitsgroep Evil Corp, die formeel is gesanctioneerd door de Amerikaanse overheid.
De exploitanten hosten doorgaans een kwaadaardige website die een drive-by downloadmechanisme uitvoert, zoals JavaScript-code-injecties of URL-omleidingen, wat op zijn beurt het downloaden van een archiefbestand activeert dat malware bevat.
Symantec-onderzoekers observeerden eerder Evil Corp met behulp van de malware als onderdeel van een aanvalsreeks om te downloaden Verspilde Locker, toen een nieuwe ransomware-variant, op doelnetwerken in juli 2020.
Een golf van drive-by downloadaanvallen die het raamwerk gebruikten dat tegen het einde van dat jaar werd gevolgd, waarbij de aanvallers kwaadaardige downloads hosten door iFrames te gebruiken om gecompromitteerde websites via een legitieme site aan te bieden.
Meer recentelijk hebben onderzoekers een gelijkspel gemaakt een dreigingscampagne het distribueren van FakeUpdates via bestaande infecties van de Raspberry Robin USB-gebaseerde worm, een zet die een verband betekende tussen de Russische cybercriminele groep en de worm, die fungeert als een lader voor andere malware.
Hoe de dreiging van de toeleveringsketen te benaderen
De door Proofpoint ontdekte campagne is wederom een โโvoorbeeld van aanvallers die de software-toeleveringsketen gebruiken om code te infecteren die over meerdere platforms wordt gedeeld, om de impact van kwaadaardige aanvallen te vergroten zonder harder te hoeven werken.
Er zijn inderdaad al talloze voorbeelden geweest van het rimpeleffect dat deze aanvallen kunnen hebben, met de inmiddels beruchte SolarWinds en Log4J scenario's behoren tot de meest prominente.
Eerstgenoemde begon eind december 2020 met een inbreuk in de SolarWinds Orion-software en verspreid diep in het volgende jaar, met meerdere aanvallen op verschillende organisaties. De laatste saga speelde zich begin december 2021 af, met de ontdekking van een zogenaamde fout Log4Shell in een veelgebruikte Java-logtool. Dat leidde tot meerdere exploits en maakte miljoenen applicaties kwetsbaar voor aanvallen, waarvan er vele ongepatcht blijven <p></p>
Aanvallen op de toeleveringsketen zijn zo gangbaar geworden dat beveiligingsbeheerders op zoek zijn naar advies over hoe ze deze kunnen voorkomen en beperken. Zowel het publiek als prive-sector hebben het graag aangeboden.
volgend een uitvoerend bevel uitgegeven door president Biden vorig jaar waarin hij overheidsinstanties opdracht geeft de veiligheid en integriteit van de softwaretoeleveringsketen te verbeteren, het National Institute for Standards and Technology (NIST) eerder dit jaar heeft de cyberbeveiligingsrichtlijnen bijgewerkt voor het aanpakken van de risico's in de toeleveringsketen van software. De uitgave omvat op maat gemaakte sets van voorgestelde beveiligingscontroles voor verschillende belanghebbenden, zoals cyberbeveiligingsspecialisten, risicomanagers, systeemingenieurs en inkoopfunctionarissen.
Beveiligingsprofessionals hebben dat ook organisaties advies gegeven over hoe ze de toeleveringsketen beter kunnen beveiligen, waarbij ze worden aanbevolen een zero-trust-aanpak te hanteren op het gebied van beveiliging, externe partners meer te monitoren dan welke andere entiteit in een omgeving dan ook, en รฉรฉn leverancier te kiezen voor softwarebehoeften die frequente code-updates biedt.
