Osoba zajmująca się cyberzagrożeniem znana jako TA569 lub SocGholish naruszyła kod JavaScript używany przez dostawcę treści multimedialnych w celu rozpowszechniania Fałszywe aktualizacje złośliwego oprogramowania do głównych mediów w całych Stanach Zjednoczonych.
Według seria tweetów z opublikowanego późną środą raportu zespołu badawczego Proofpoint Threat Research Team wynika, że napastnicy manipulowali bazą kodową aplikacji, której anonimowa firma używa do wyświetlania materiałów wideo i reklam na stronach gazet krajowych i regionalnych. The atak na łańcuch dostaw jest używany do rozprzestrzeniania niestandardowego złośliwego oprogramowania TA569, które jest zwykle wykorzystywane do ustanowienia sieci początkowego dostępu na potrzeby kolejnych ataków i dostarczania oprogramowania ransomware.
Naukowcy ostrzegają, że wykrycie może być trudne: „W przeszłości TA569 usuwał i przywracał te szkodliwe wstrzykiwacze JS na zasadzie rotacji” – wynika z jednego z tweetów. „Dlatego obecność ładunku i złośliwej zawartości może zmieniać się z godziny na godzinę i nie należy jej uważać za fałszywie dodatnią”.
Według Proofpoint ponad 250 gazet regionalnych i krajowych uzyskało dostęp do złośliwego kodu JavaScript, a dotknięte nim organizacje medialne obsługują miasta takie jak Boston, Chicago, Cincinnati, Miami, Nowy Jork, Palm Beach i Waszyngton. Jednak tylko firma zajmująca się dostarczaniem treści medialnych, której dotyczy atak, zna pełny zakres ataku i jego wpływ na witryny stowarzyszone – twierdzą badacze.
W tweetach zacytowano analityka wykrywania zagrożeń Proofpoint Zakurzony Miller, starszy badacz bezpieczeństwa Kyle'a Eatonai starszy badacz zagrożeń Andrzej Północ za wykrycie i zbadanie ataku.
Historyczne powiązania z Evil Corp
FakeUpdates to platforma do wstępnego dostępu do złośliwego oprogramowania i ataków, używana od co najmniej 2020 r. (ale potencjalnie wcześniej), który w przeszłości do rozprzestrzeniania się wykorzystywał pobieranie typu drive-by podszywające się pod aktualizacje oprogramowania. Wcześniej łączono je z działalnością podejrzanej rosyjskiej grupy cyberprzestępczej Evil Corp, na którą formalnie nałożyły sankcje rząd USA.
Operatorzy zazwyczaj hostują złośliwą witrynę internetową, która wykonuje mechanizm pobierania typu „drive-by download” – taki jak wstrzykiwanie kodu JavaScript lub przekierowania adresów URL – co z kolei powoduje pobieranie pliku archiwum zawierającego złośliwe oprogramowanie.
Badacze firmy Symantec zaobserwowali już wcześniej firmę Evil Corp za pomocą złośliwego oprogramowania jako część sekwencji ataku do pobrania Zmarnowana szafka, wówczas nowy szczep oprogramowania ransomware, w sieciach docelowych w lipcu 2020 r.
Fala ataków typu drive-by download który korzystał ze struktury wprowadzonej pod koniec tego roku, a napastnicy hostowali złośliwe pliki do pobrania, wykorzystując ramki iFrame do udostępniania zainfekowanych witryn internetowych za pośrednictwem legalnej witryny.
Niedawno badacze związali się kampanię groźby rozpowszechnianie FakeUpdates poprzez istniejące infekcje robaka opartego na USB Raspberry Robin, co oznaczało powiązanie między rosyjską grupą cyberprzestępczą a robakiem, który pełni funkcję modułu ładującego dla innego szkodliwego oprogramowania.
Jak podejść do zagrożenia w łańcuchu dostaw
Kampania wykryta przez Proofpoint to kolejny przykład wykorzystania przez atakujących łańcucha dostaw oprogramowania do infekowania kodu współdzielonego na wielu platformach w celu zwiększenia zasięgu złośliwego ataku bez konieczności cięższej pracy.
Rzeczywiście, istniało już wiele przykładów skutków, jakie te ataki mogą wywołać, a obecnie są one niesławne SolarWinds i Log4J scenariusze należą do najważniejszych.
Pierwsza rozpoczęła się pod koniec grudnia 2020 r. od wyłom w oprogramowaniu SolarWinds Orion i rozpowszechnić głęboko w przyszły rok, z wieloma atakami na różne organizacje. Ta ostatnia historia miała miejsce na początku grudnia 2021 r. wraz z odkryciem dubbingowanej wady Log4Shell in powszechnie używane narzędzie rejestrujące Java. Spowodowało to wiele exploitów i naraziło wiele milionów aplikacji na ataki pozostają niezałatane dzisiaj.
Ataki na łańcuch dostaw stały się tak powszechne, że administratorzy bezpieczeństwa szukają wskazówek dotyczących zapobiegania im i łagodzenia ich, co zarówno społeczeństwo, jak i społeczeństwo Sektor prywatny z przyjemnością zaoferowaliśmy.
Obserwujący zarządzenie wykonawcze wydany w zeszłym roku przez prezydenta Bidena, nakazujący agencjom rządowym poprawę bezpieczeństwa i integralności łańcucha dostaw oprogramowania, Narodowy Instytut Standardów i Technologii (NIST) na początku tego roku zaktualizowała swoje wytyczne dotyczące cyberbezpieczeństwa w celu rozwiązania problemu ryzyka w łańcuchu dostaw oprogramowania. The publikacja obejmuje dostosowane zestawy sugerowanych kontroli bezpieczeństwa dla różnych interesariuszy, takich jak specjaliści ds. cyberbezpieczeństwa, menedżerowie ds. ryzyka, inżynierowie systemów i urzędnicy ds. zakupów.
Specjaliści od bezpieczeństwa również to mają oferował organizacjom porady o tym, jak lepiej zabezpieczyć łańcuch dostaw, zalecając przyjęcie podejścia zerowego zaufania do bezpieczeństwa, monitorowanie partnerów zewnętrznych bardziej niż jakikolwiek inny podmiot w środowisku oraz wybranie jednego dostawcy na potrzeby oprogramowania, który oferuje częste aktualizacje kodu.
- blockchain
- portfele kryptowalutowe
- krypto-wymiana
- bezpieczeństwo cybernetyczne
- cyberprzestępcy
- Bezpieczeństwo cybernetyczne
- Mroczne czytanie
- Departament Bezpieczeństwa Wewnętrznego
- cyfrowe portfele
- zapora
- Kaspersky
- malware
- Mcafee
- NexBLOC
- plato
- Platon Ai
- Analiza danych Platona
- Gra Platona
- PlatoDane
- platogaming
- VPN
- zabezpieczenia stron internetowych
