Nettrusselaktøren kjent som TA569, eller SocGholish, har kompromittert JavaScript-kode brukt av en medieinnholdsleverandør for å spre Falske oppdateringer skadelig programvare til store medier over hele USA.
Ifølge en serie tweets fra Proofpoint Threat Research Team publisert sent onsdag, har angriperne tuklet med kodebasen til en applikasjon som det ikke navngitte selskapet bruker til å levere video og reklame til nasjonale og regionale avisnettsteder. De forsyningskjedeangrep brukes til å spre TA569s tilpassede skadevare, som vanligvis brukes til å etablere et første tilgangsnettverk for oppfølgingsangrep og levering av løsepenger.
Oppdagelsen kan være vanskelig, advarte forskerne: «TA569 har historisk fjernet og gjeninnsatt disse ondsinnede JS-injeksjonene på roterende basis», ifølge en av tweetene. "Derfor kan tilstedeværelsen av nyttelasten og skadelig innhold variere fra time til time og bør ikke betraktes som en falsk positiv."
Mer enn 250 regionale og nasjonale avissider har fått tilgang til ondsinnet JavaScript, med berørte medieorganisasjoner som betjener byer som Boston, Chicago, Cincinnati, Miami, New York, Palm Beach og Washington, DC, ifølge Proofpoint. Men bare det berørte medieinnholdsselskapet kjenner hele omfanget av angrepet og dets innvirkning på tilknyttede nettsteder, sa forskerne.
Tweetene siterte Proofpoint trusseldeteksjonsanalytiker Støvete Miller, senior sikkerhetsforsker Kyle Eaton, og senior trusselforsker Andrew Northern for oppdagelsen og etterforskningen av angrepet.
Historiske lenker til Evil Corp
FakeUpdates er en innledende tilgang til skadelig programvare og angrepsrammeverk i bruk siden minst 2020 (men potensielt tidligere), som tidligere har brukt drive-by-nedlastinger som er maskert som programvareoppdateringer for å spre seg. Det har tidligere vært knyttet til aktivitet fra den mistenkte russiske nettkriminalitetsgruppen Evil Corp, som har blitt formelt sanksjonert av den amerikanske regjeringen.
Operatørene er vanligvis vert for et ondsinnet nettsted som kjører en drive-by-nedlastingsmekanisme – for eksempel JavaScript-kodeinjeksjoner eller URL-omdirigeringer – som igjen utløser nedlasting av en arkivfil som inneholder skadelig programvare.
Symantec-forskere har tidligere observert Evil Corp ved hjelp av skadelig programvare som en del av en angrepssekvens å laste ned WastedLocker, den gang en ny løsepengevarestamme, på målnettverk tilbake i juli 2020.
En bølge av drive-by-nedlastingsangrep som brukte rammeverket som fulgte mot slutten av det året, med angriperne som vert for ondsinnede nedlastinger ved å utnytte iFrames for å betjene kompromitterte nettsteder via et legitimt nettsted.
Mer nylig knyttet forskere en trusselkampanje distribuere FakeUpdates gjennom eksisterende infeksjoner av den Raspberry Robin USB-baserte ormen, et trekk som betydde en kobling mellom den russiske nettkriminelle gruppen og ormen, som fungerer som en laster for annen skadelig programvare.
Hvordan nærme seg trusselen i forsyningskjeden
Kampanjen oppdaget av Proofpoint er nok et eksempel på angripere som bruker programvareforsyningskjeden for å infisere kode som deles på tvers av flere plattformer, for å utvide virkningen av ondsinnede angrep uten å måtte jobbe hardere.
Faktisk har det allerede vært mange eksempler på ringvirkningen disse angrepene kan ha, med den nå beryktede Solarwinds og Log4J scenarier er blant de mest fremtredende.
Førstnevnte startet i slutten av desember 2020 med et brudd i SolarWinds Orion-programvaren og spredt langt inn i neste år, med flere angrep på tvers av ulike organisasjoner. Sistnevnte saga utspant seg tidlig i desember 2021, med oppdagelsen av en feil kalt Log4Shell in et mye brukt Java-loggingsverktøy. Det ansporet til flere utnyttelser og gjorde millioner av applikasjoner sårbare for angrep, mange av dem forbli uoppdatert i dag.
Supply chain-angrep har blitt så utbredt at sikkerhetsadministratorer leter etter veiledning om hvordan de kan forebygge og dempe dem, noe både publikum og privat sektor har vært glade for å tilby.
Følgende en utøvende ordre utstedt av president Biden i fjor som påla offentlige etater å forbedre sikkerheten og integriteten til programvareforsyningskjeden, National Institute for Standards and Technology (NIST) tidligere i år oppdaterte veiledningen for nettsikkerhet for å håndtere programvareforsyningskjederisiko. De publikasjon inkluderer skreddersydde sett med foreslåtte sikkerhetskontroller for ulike interessenter, for eksempel cybersikkerhetsspesialister, risikoansvarlige, systemingeniører og innkjøpsfunksjonærer.
Sikkerhetsfagfolk har også tilbudt organisasjoner råd om hvordan de kan sikre forsyningskjeden bedre, og anbefaler at de tar en null-tillit-tilnærming til sikkerhet, overvåker tredjepartspartnere mer enn noen annen enhet i et miljø, og velger én leverandør for programvarebehov som tilbyr hyppige kodeoppdateringer.
