Субъект киберугроз, известный как TA569 или SocGholish, скомпрометировал код JavaScript, используемый поставщиком медиаконтента для распространения Поддельные обновления вредоносное ПО в основные средства массовой информации в США.
В соответствии с серия твитов из группы исследования угроз Proofpoint, опубликованной поздно вечером в среду, злоумышленники вмешались в кодовую базу приложения, которое неназванная компания использует для показа видео и рекламы на веб-сайтах национальных и региональных газет. атака цепочки поставок используется для распространения пользовательского вредоносного ПО TA569, которое обычно используется для создания начальной сети доступа для последующих атак и доставки программ-вымогателей.
Исследователи предупредили, что обнаружение может быть сложным: «Исторически TA569 удалял и восстанавливал эти вредоносные JS-инжекты на ротационной основе», — говорится в одном из твитов. «Поэтому наличие полезной нагрузки и вредоносного контента может меняться от часа к часу и не должно считаться ложным срабатыванием».
По данным Proofpoint, более 250 региональных и национальных газетных сайтов получили доступ к вредоносному коду JavaScript, а затронутые медиа-организации обслуживают такие города, как Бостон, Чикаго, Цинциннати, Майами, Нью-Йорк, Палм-Бич и Вашингтон, округ Колумбия. Однако, по словам исследователей, только пострадавшая компания, занимающаяся медиа-контентом, знает весь спектр атаки и ее влияние на партнерские сайты.
В твиттере цитируется аналитик Proofpoint по обнаружению угроз. Дасти Миллер, старший научный сотрудник по безопасности Кайл Итони старший исследователь угроз Эндрю Северный для обнаружения и расследования нападения.
Исторические ссылки на Evil Corp.
FakeUpdates — это вредоносное ПО и платформа для атак с начальным доступом, используемая как минимум с 2020 года (но потенциально раньше), который в прошлом использовал для распространения попутные загрузки, маскирующиеся под обновления программного обеспечения. Ранее это было связано с деятельностью подозреваемой российской киберпреступной группы Evil Corp, которая официально попала под санкции правительства США.
Операторы обычно размещают вредоносный веб-сайт, который выполняет механизм загрузки с диска, например, инъекции кода JavaScript или перенаправления URL-адресов, что, в свою очередь, запускает загрузку архивного файла, содержащего вредоносное ПО.
Исследователи Symantec ранее наблюдали за Evil Corp. с помощью вредоносного ПО как часть последовательности атаки для загрузки Вастедлокер, а затем новый штамм программы-вымогателя в целевых сетях еще в июле 2020 года.
Всплеск атак с попутной загрузкой который использовал структуру, появившуюся в конце того же года, когда злоумышленники размещали вредоносные загрузки, используя iFrames для обслуживания скомпрометированных веб-сайтов через законный сайт.
Совсем недавно исследователи связали кампания угроз распространение FakeUpdates через существующие заражения USB-червя Raspberry Robin, что означало связь между российской киберпреступной группировкой и червем, который действует как загрузчик для других вредоносных программ.
Как подойти к угрозе цепочки поставок
Кампания, обнаруженная Proofpoint, является еще одним примером того, как злоумышленники используют цепочку поставок программного обеспечения для заражения кода, который используется на нескольких платформах, чтобы расширить воздействие вредоносной атаки без необходимости прилагать больше усилий.
В самом деле, уже есть многочисленные примеры волнового эффекта, который могут иметь эти атаки, с теперь уже печально известным SolarWinds и Лог4Дж сценарии являются одними из самых известных.
Первый начался в конце декабря 2020 года с нарушение в ПО SolarWinds Orion и распространяем глубоко в следующем году, с многочисленными атаками на различные организации. Последняя сага развернулась в начале декабря 2021 года, когда был обнаружен недостаток, получивший название Журнал4Shell in широко используемый инструмент ведения журнала Java. Это спровоцировало множество эксплойтов и сделало миллионы приложений уязвимыми для атак, многие из которых оставаться неисправленным прямо сейчас
Атаки на цепочку поставок стали настолько распространенными, что администраторы безопасности ищут рекомендации о том, как их предотвратить и смягчить частный сектор были рады предложить.
Следующий распоряжение выпущенный президентом Байденом в прошлом году, предписывающий государственным учреждениям повысить безопасность и целостность цепочки поставок программного обеспечения, Национальный институт стандартов и технологий (NIST) ранее в этом году обновил руководство по кибербезопасности для устранения рисков цепочки поставок программного обеспечения. публикация включает адаптированные наборы предлагаемых мер безопасности для различных заинтересованных сторон, таких как специалисты по кибербезопасности, менеджеры по управлению рисками, системные инженеры и сотрудники по закупкам.
Специалисты по безопасности также имеют предлагаемые организации консультации о том, как лучше защитить цепочку поставок, рекомендуя им использовать подход с нулевым доверием к безопасности, контролировать сторонних партнеров больше, чем любой другой объект в среде, и выбирать одного поставщика для нужд программного обеспечения, который предлагает частые обновления кода.
- блокчейн
- кошельки с криптовалютами
- cryptoexchange
- информационная безопасность
- киберпреступники
- Информационная безопасность
- Темное чтение
- Департамент внутренней безопасности
- цифровые кошельки
- брандмауэр
- Kaspersky
- вредоносных программ
- Mcafee
- НексБЛОК
- Платон
- Платон Ай
- Платон Интеллектуальные данные
- Платон игра
- ПлатонДанные
- платогейминг
- VPN
- безопасности веб-сайтов
