Akter kibernetske grožnje, znan kot TA569 ali SocGholish, je ogrozil kodo JavaScript, ki jo uporablja ponudnik medijske vsebine, da bi razširil FakeUpdates zlonamerno programsko opremo večjim medijem po ZDA.
Glede na serija tweets iz skupine za raziskavo groženj Proofpoint, ki je bila objavljena v sredo pozno pozno, so napadalci posegli v kodno osnovo aplikacije, ki jo neimenovano podjetje uporablja za prikazovanje videa in oglaševanja na spletnih mestih nacionalnih in regionalnih časopisov. The napad na dobavno verigo se uporablja za širjenje zlonamerne programske opreme po meri TA569, ki se običajno uporablja za vzpostavitev začetnega dostopovnega omrežja za nadaljnje napade in dostavo izsiljevalske programske opreme.
Odkrivanje bi lahko bilo težavno, so opozorili raziskovalci: "TA569 je zgodovinsko odstranil in znova vzpostavil te zlonamerne vbrizgane JS na rotacijski osnovi," je zapisano v enem od tvitov. "Zato se lahko prisotnost koristnega tovora in zlonamerne vsebine razlikuje od ure do ure in je ne bi smeli obravnavati kot lažno pozitivno."
Več kot 250 regionalnih in nacionalnih časopisnih strani je dostopalo do zlonamernega JavaScripta, pri čemer so bile prizadete medijske organizacije, ki služijo mestom, kot so Boston, Chicago, Cincinnati, Miami, New York, Palm Beach in Washington, DC, poroča Proofpoint. Vendar pa samo prizadeto podjetje z medijskimi vsebinami pozna celoten obseg napada in njegov vpliv na pridružena spletna mesta, so povedali raziskovalci.
V tvitih je bil naveden analitik za odkrivanje groženj Proofpoint Dusty Miller, višja varnostna raziskovalka Kyle Eaton, in višji raziskovalec groženj Andrej Severni za odkritje in preiskavo napada.
Zgodovinske povezave z Evil Corp
FakeUpdates je prvotno dostopno zlonamerno programsko opremo in ogrodje za napade, ki se uporablja vsaj od leta 2020 (vendar potencialno prej), ki je v preteklosti za širjenje uporabljal naključne prenose, ki so se predstavljali kot posodobitve programske opreme. Pred tem so ga povezovali z dejavnostmi domnevne ruske kibernetske kriminalne skupine Evil Corp, ki jo je ameriška vlada uradno sankcionirala.
Operaterji običajno gostijo zlonamerno spletno stran, ki izvaja mehanizem prenosa po principu vožnje – kot so vbrizgavanje kode JavaScript ali preusmeritve URL-jev – kar posledično sproži prenos arhivske datoteke, ki vsebuje zlonamerno programsko opremo.
Symantecovi raziskovalci so pred tem opazili Evil Corp uporabo zlonamerne programske opreme kot del zaporedja napadov za prenos WasteLocker, nato nov sev izsiljevalske programske opreme, na ciljnih omrežjih julija 2020.
Naval napadov s prenosom po pogonu ki je uporabljalo ogrodje, ki je sledilo proti koncu tega leta, pri čemer so napadalci gostili zlonamerne prenose z uporabo iFramejev za serviranje ogroženih spletnih mest prek zakonitega mesta.
Pred kratkim so raziskovalci izenačili kampanjo groženj distribucija FakeUpdates prek obstoječih okužb s črvom Raspberry Robin, ki temelji na USB-ju, poteza, ki je pomenila povezavo med rusko skupino kibernetskih kriminalcev in črvom, ki deluje kot nalagalnik za drugo zlonamerno programsko opremo.
Kako pristopiti k grožnji dobavne verige
Kampanja, ki jo je odkril Proofpoint, je še en primer napadalcev, ki uporabljajo dobavno verigo programske opreme, da okužijo kodo, ki je v skupni rabi na več platformah, da razširijo učinek zlonamernega napada, ne da bi se morali še bolj truditi.
Pravzaprav je bilo že veliko primerov valovanja, ki ga lahko imajo ti napadi, z zdaj zloglasnim SolarWinds in Log4J scenariji med najvidnejšimi.
Prvi se je začel konec decembra 2020 z kršitev v programski opremi SolarWinds Orion in širijo globoko v naslednje leto, z več napadi na različne organizacije. Slednja saga se je razpletla v začetku decembra 2021 z odkritjem napake, imenovane Log4Shell in široko uporabljeno orodje za beleženje v Java. To je spodbudilo številne napade in naredilo milijone aplikacij ranljivih za napade, od katerih jih je veliko ostanejo nepopravljeni danes.
Napadi v dobavni verigi so postali tako razširjeni, da varnostni skrbniki iščejo navodila, kako jih preprečiti in ublažiti, kar tako javnost kot Zasebni sektor z veseljem ponudili.
Po izvršilni nalog izdal predsednik Biden lani, ki je vladnim agencijam naročil, naj izboljšajo varnost in celovitost dobavne verige programske opreme, Nacionalni inštitut za standarde in tehnologijo (NIST) v začetku tega leta posodobil svoje smernice za kibernetsko varnost za obravnavo tveganja dobavne verige programske opreme. The objava vključuje prilagojene nize predlaganih varnostnih kontrol za različne deležnike, kot so strokovnjaki za kibernetsko varnost, upravljavci tveganja, sistemski inženirji in uradniki za javna naročila.
Imajo tudi varnostni strokovnjaki organizacijam nudil nasvete o tem, kako bolje zavarovati dobavno verigo, pri čemer jim priporoča, da za varnost uporabijo pristop ničelnega zaupanja, partnerje tretjih oseb spremljajo bolj kot kateri koli drug subjekt v okolju in izberejo enega dobavitelja za potrebe programske opreme, ki ponuja pogoste posodobitve kode.
- blockchain
- kriptokurrency denarnice
- kripto izmenjava
- kibernetska varnost
- cybercriminals
- Cybersecurity
- Temno branje
- oddelek za domovinsko varnost
- digitalne denarnice
- požarni zid
- Kaspersky
- zlonamerna programska oprema
- Mccafee
- NexBLOC
- platon
- platon ai
- Platonova podatkovna inteligenca
- Igra Platon
- PlatoData
- platogaming
- VPN
- spletna varnost
