Actorul amenințărilor cibernetice cunoscut sub numele de TA569, sau SocGholish, a compromis codul JavaScript folosit de un furnizor de conținut media pentru a răspândi Actualizări false malware către principalele instituții media din SUA.
Potrivit unui serie de tweets de la Proofpoint Threat Research Team postată miercuri seara, atacatorii au alterat baza de cod a unei aplicații pe care compania fără nume o folosește pentru a difuza videoclipuri și reclame către site-urile web ale ziarelor naționale și regionale. The atacul lanțului de aprovizionare este folosit pentru a răspândi malware-ul personalizat al TA569, care este de obicei folosit pentru a stabili o rețea de acces inițială pentru atacuri ulterioare și livrarea de ransomware.
Detectarea ar putea fi dificilă, au avertizat cercetătorii: „TA569 a eliminat și a reinstalat în mod istoric aceste injectări JS rău intenționate pe o bază rotativă”, potrivit unuia dintre tweet-uri. „Prin urmare, prezența încărcăturii utile și a conținutului rău intenționat poate varia de la o oră la alta și nu ar trebui să fie considerată un fals pozitiv.”
Peste 250 de site-uri de ziare regionale și naționale au accesat JavaScript rău intenționat, cu organizații media afectate care deservesc orașe precum Boston, Chicago, Cincinnati, Miami, New York, Palm Beach și Washington, DC, potrivit Proofpoint. Cu toate acestea, doar compania de conținut media afectată cunoaște întreaga gamă a atacului și impactul acestuia asupra site-urilor afiliate, au spus cercetătorii.
Tweeturile au citat analistul de detectare a amenințărilor Proofpoint Dusty Miller, cercetător senior în securitate Kyle Eatonși cercetător senior pentru amenințări Andrew Northern pentru descoperirea și investigarea atacului.
Legături istorice cu Evil Corp
FakeUpdates este un malware de acces inițial și un cadru de atac în uz de cel puțin 2020 (dar potential mai devreme), care, în trecut, a folosit descărcări drive-by mascandu-se ca actualizări de software pentru a se propaga. Anterior a fost legat de activitatea presupusului grup rusesc de criminalitate cibernetică Evil Corp, care a fost sancționat oficial de guvernul SUA.
Operatorii găzduiesc de obicei un site web rău intenționat care execută un mecanism de descărcare drive-by - cum ar fi injecții de cod JavaScript sau redirecționări URL - care, la rândul său, declanșează descărcarea unui fișier de arhivă care conține malware.
Cercetătorii Symantec au observat anterior Evil Corp folosind malware-ul ca parte a unei secvențe de atac de descărcat WastedLocker, apoi o nouă tulpină de ransomware, pe rețelele țintă încă din iulie 2020.
Un val de atacuri de descărcare drive-by care a folosit cadrul urmat spre sfârșitul acelui an, atacatorii găzduind descărcări rău intenționate prin folosirea iFrame-urilor pentru a furniza site-uri web compromise printr-un site legitim.
Mai recent, cercetătorii au făcut egalitate o campanie de amenințare distribuirea FakeUpdates prin infecțiile existente ale viermelui bazat pe USB Raspberry Robin, o mișcare care a însemnat o legătură între grupul rus de criminali cibernetici și vierme, care acționează ca un încărcător pentru alte programe malware.
Cum să abordați amenințarea lanțului de aprovizionare
Campania descoperită de Proofpoint este încă un exemplu de atacatori care folosesc lanțul de aprovizionare software pentru a infecta codul care este partajat pe mai multe platforme, pentru a extinde impactul atacurilor rău intenționate fără a fi nevoie să muncească mai mult.
Într-adevăr, au existat deja numeroase exemple ale efectului de undă pe care îl pot avea aceste atacuri, acum infamul SolarWinds și Log4J scenariile fiind printre cele mai proeminente.
Primul a început la sfârșitul lui decembrie 2020 cu o încălcare în software-ul SolarWinds Orion și răspândit adânc în anul următor, cu mai multe atacuri în diverse organizații. Ultima saga s-a desfășurat la începutul lui decembrie 2021, odată cu descoperirea unui defect numit Log4shell. in un instrument de logare Java utilizat pe scară largă. Acest lucru a stimulat mai multe exploit-uri și a făcut milioane de aplicații vulnerabile la atacuri, dintre care multe rămâne nepattched astăzi.
Atacurile lanțului de aprovizionare au devenit atât de răspândite încât administratorii de securitate caută îndrumări despre cum să le prevină și să le atenueze, ceea ce atât publicul, cât și sectorul privat au fost bucuroși să ofere.
Urmărești: un ordin executiv emis de președintele Biden anul trecut, care a îndrumat agențiile guvernamentale să îmbunătățească securitatea și integritatea lanțului de aprovizionare cu software, Institutul Național pentru Standarde și Tehnologie (NIST) la începutul acestui an și-a actualizat ghidul de securitate cibernetică pentru abordarea riscului lanțului de aprovizionare cu software. The publicare include seturi personalizate de controale de securitate sugerate pentru diverse părți interesate, cum ar fi specialiști în securitate cibernetică, manageri de risc, ingineri de sisteme și oficiali în achiziții.
Au și profesioniștii în securitate a oferit consiliere organizațiilor despre cum să securizeze mai bine lanțul de aprovizionare, recomandând ca aceștia să adopte o abordare de securitate zero, să monitorizeze partenerii terți mai mult decât orice altă entitate dintr-un mediu și să aleagă un furnizor pentru nevoile software care oferă actualizări frecvente de cod.
- blockchain
- portofele de criptare
- criptoschimb
- securitate cibernetică
- cybercriminals
- Securitate cibernetică
- Lectură întunecată
- Departamentul de Securitate Națională
- portofele digitale
- firewall
- Kaspersky
- malware
- McAfee
- NexBLOC
- Plato
- platoul ai
- Informații despre date Platon
- Jocul lui Platon
- PlatoData
- platogaming
- VPN
- securitatea site-ului
