Den aktör som hotar cyberhot, känd som TA569, eller SocGholish, har äventyrat JavaScript-kod som används av en leverantör av medieinnehåll för att sprida FakeUpdates skadlig programvara till stora medier över hela USA.
Enligt en serie tweets från Proofpoint Threat Research Team som publicerades sent på onsdagen, har angriparna manipulerat kodbasen för en applikation som det icke namngivna företaget använder för att visa video och reklam till nationella och regionala tidningswebbplatser. De försörjningskedjan attack används för att sprida TA569s anpassade skadliga program, som vanligtvis används för att upprätta ett initialt åtkomstnätverk för uppföljande attacker och leverans av ransomware.
Detektering kan vara knepigt, varnade forskarna: "TA569 har historiskt tagit bort och återställt dessa skadliga JS-injektioner på en roterande basis", enligt en av tweetarna. "Därför kan förekomsten av nyttolasten och skadligt innehåll variera från timme till timme och bör inte betraktas som ett falskt positivt."
Mer än 250 regionala och nationella tidningssajter har fått åtkomst till det skadliga JavaScript, med påverkade medieorganisationer som betjänar städer som Boston, Chicago, Cincinnati, Miami, New York, Palm Beach och Washington, DC, enligt Proofpoint. Men det är bara det drabbade medieinnehållsföretaget som känner till attackens hela spektrum och dess inverkan på affilierade webbplatser, sa forskarna.
Tweetarna citerade Proofpoint-hotdetekteringsanalytiker Dammiga Miller, senior säkerhetsforskare Kyle Eaton, och senior hotforskare Andrew Northern för upptäckt och utredning av attacken.
Historiska länkar till Evil Corp
FakeUpdates är ett ramverk för initial åtkomst av skadlig programvara och attack som har använts sedan åtminstone 2020 (men potentiellt tidigare), som tidigare har använt drive-by-nedladdningar som maskerat sig som mjukvaruuppdateringar för att spridas. Det har tidigare kopplats till aktivitet av den misstänkta ryska cyberbrottsgruppen Evil Corp, som formellt har sanktionerats av den amerikanska regeringen.
Operatörerna är vanligtvis värd för en skadlig webbplats som kör en drive-by-nedladdningsmekanism – såsom JavaScript-kodinjektioner eller URL-omdirigering – som i sin tur utlöser nedladdningen av en arkivfil som innehåller skadlig programvara.
Symantecs forskare har tidigare observerat Evil Corp använder skadlig programvara som en del av en attacksekvens att ladda ner WastedLocker, då en ny ransomware-stam, på målnätverk redan i juli 2020.
En våg av drive-by-nedladdningsattacker som använde ramverket som följde mot slutet av det året, där angriparna var värd för skadliga nedladdningar genom att utnyttja iFrames för att servera komprometterade webbplatser via en legitim webbplats.
Mer nyligen band forskare en hotkampanj distribuera FakeUpdates genom befintliga infektioner av den Raspberry Robin USB-baserade masken, ett drag som innebar en koppling mellan den ryska cyberkriminella gruppen och masken, som fungerar som en laddare för annan skadlig kod.
Hur man närmar sig hotet i försörjningskedjan
Kampanjen som upptäckts av Proofpoint är ännu ett exempel på angripare som använder mjukvaruförsörjningskedjan för att infektera kod som delas över flera plattformar, för att bredda effekten av skadliga attacker utan att behöva arbeta hårdare.
Det har faktiskt redan funnits många exempel på den ringverkan dessa attacker kan ha, med den nu ökända Solarwinds och Log4J scenarier är bland de mest framträdande.
Den förstnämnda startade i slutet av december 2020 med ett brott i SolarWinds Orion-programvaran och sprid djupt in i nästa år, med flera attacker över olika organisationer. Den sistnämnda sagan utspelade sig i början av december 2021, med upptäckten av ett fel dubbat Log4Shell in ett flitigt använt Java-loggningsverktyg. Det sporrade till flera utnyttjande och gjorde miljontals applikationer sårbara för attacker, varav många förbli oparpad i dag.
Supply chain attacker har blivit så vanliga att säkerhetsadministratörer letar efter vägledning om hur man kan förebygga och mildra dem, vilket både allmänheten och den privata sektorn har gärna bjudit.
Efter en verkställande order utfärdat av president Biden förra året och uppmanade statliga myndigheter att förbättra säkerheten och integriteten för mjukvaruförsörjningskedjan, National Institute for Standards and Technology (NIST) tidigare i år uppdaterade sin cybersäkerhetsvägledning för att ta itu med risken för programvarans leveranskedja. De publicering inkluderar skräddarsydda uppsättningar av föreslagna säkerhetskontroller för olika intressenter, såsom cybersäkerhetsspecialister, riskhanterare, systemingenjörer och inköpstjänstemän.
Säkerhetspersonal har också erbjöd organisationer råd om hur man bättre kan säkra försörjningskedjan, rekommenderar att de tar ett nollförtroende för säkerhet, övervakar tredjepartspartners mer än någon annan enhet i en miljö och väljer en leverantör för mjukvarubehov som erbjuder frekventa koduppdateringar.
