ภัยคุกคามทางไซเบอร์ที่รู้จักกันในชื่อ TA569 หรือ SocGholish ได้บุกรุกโค้ด JavaScript ที่ผู้ให้บริการเนื้อหาสื่อใช้เพื่อเผยแพร่ อัพเดทปลอม มัลแวร์ไปยังสื่อหลัก ๆ ทั่วสหรัฐอเมริกา
ตาม ชุดทวีต จากทีมวิจัยภัยคุกคาม Proofpoint ที่โพสต์เมื่อวันพุธที่ผ่านมา ผู้โจมตีได้ดัดแปลงโค้ดเบสของแอปพลิเคชันที่บริษัทที่ไม่เปิดเผยชื่อใช้เพื่อให้บริการวิดีโอและโฆษณาไปยังเว็บไซต์หนังสือพิมพ์ระดับชาติและระดับภูมิภาค ที่ การโจมตีห่วงโซ่อุปทาน กำลังถูกใช้เพื่อแพร่กระจายมัลแวร์แบบกำหนดเองของ TA569 ซึ่งโดยทั่วไปจะใช้เพื่อสร้างเครือข่ายการเข้าถึงเริ่มต้นสำหรับการโจมตีที่ตามมาและการส่งแรนซัมแวร์
การตรวจจับอาจเป็นเรื่องยุ่งยาก นักวิจัยเตือน: “ในอดีต TA569 ได้ลบและคืนสถานะ JS injects ที่เป็นอันตรายเหล่านี้แบบหมุนเวียน” ตามทวีตข้อความหนึ่ง “ดังนั้นการมีอยู่ของเพย์โหลดและเนื้อหาที่เป็นอันตรายอาจแตกต่างกันไปในแต่ละชั่วโมง และไม่ควรถือเป็นผลบวกลวง”
เว็บไซต์หนังสือพิมพ์ระดับภูมิภาคและระดับชาติมากกว่า 250 แห่งได้เข้าถึง JavaScript ที่เป็นอันตราย โดยองค์กรสื่อที่ได้รับผลกระทบในเมืองต่างๆ เช่น บอสตัน ชิคาโก ซินซินนาติ ไมอามี นิวยอร์ก ปาล์มบีช และวอชิงตัน ดีซี ตามรายงานของ Proofpoint อย่างไรก็ตาม มีเพียงบริษัทเนื้อหาสื่อที่ได้รับผลกระทบเท่านั้นที่รู้ถึงการโจมตีอย่างเต็มรูปแบบและผลกระทบที่มีต่อเว็บไซต์พันธมิตร นักวิจัยกล่าว
ทวีตดังกล่าวอ้างถึงนักวิเคราะห์การตรวจจับภัยคุกคาม Proofpoint มิลเลอร์ฝุ่นนักวิจัยด้านความปลอดภัยอาวุโส ไคล์ อีตันและนักวิจัยภัยคุกคามอาวุโส แอนดรูว์ นอร์เทิร์น เพื่อการค้นพบและสอบสวนเหตุโจมตี
ลิงก์ทางประวัติศาสตร์ไปยัง Evil Corp
FakeUpdates เป็นมัลแวร์การเข้าถึงเบื้องต้นและเฟรมเวิร์กการโจมตีที่ใช้งานมาตั้งแต่อย่างน้อยปี 2020 (แต่ อาจเร็วกว่านี้) ซึ่งในอดีตได้ใช้การดาวน์โหลดแบบไดรฟ์โดยปลอมแปลงเป็นการอัปเดตซอฟต์แวร์เพื่อเผยแพร่ ก่อนหน้านี้มีความเชื่อมโยงกับกิจกรรมของกลุ่มอาชญากรรมไซเบอร์รัสเซีย Evil Corp ที่ต้องสงสัย ซึ่งได้รับการคว่ำบาตรอย่างเป็นทางการจากรัฐบาลสหรัฐฯ
โดยทั่วไปแล้วผู้ให้บริการจะโฮสต์เว็บไซต์ที่เป็นอันตรายซึ่งดำเนินการตามกลไกการดาวน์โหลดแบบขับเคลื่อน เช่น การแทรกโค้ด JavaScript หรือการเปลี่ยนเส้นทาง URL ซึ่งจะทำให้เกิดการดาวน์โหลดไฟล์เก็บถาวรที่มีมัลแวร์
ก่อนหน้านี้นักวิจัยของไซแมนเทคได้สังเกตพบบริษัท Evil Corp การใช้มัลแวร์ เป็นส่วนหนึ่งของลำดับการโจมตีที่จะดาวน์โหลด WasedLockerซึ่งเป็นแรนซัมแวร์สายพันธุ์ใหม่บนเครือข่ายเป้าหมายย้อนกลับไปในเดือนกรกฎาคม 2020
การโจมตีการดาวน์โหลดแบบไดรฟ์บาย ที่ใช้เฟรมเวิร์กตามมาในช่วงปลายปีนั้น โดยผู้โจมตีโฮสต์การดาวน์โหลดที่เป็นอันตรายโดยใช้ประโยชน์จาก iFrames เพื่อให้บริการเว็บไซต์ที่ถูกบุกรุกผ่านไซต์ที่ถูกกฎหมาย
ล่าสุดนักวิจัยได้เชื่อมโยง การรณรงค์คุกคาม กระจาย FakeUpdates ผ่านการติดไวรัสที่มีอยู่ของเวิร์มที่ใช้ Raspberry Robin USB ซึ่งเป็นการเคลื่อนไหวที่บ่งบอกถึงความเชื่อมโยงระหว่างกลุ่มอาชญากรไซเบอร์รัสเซียและเวิร์ม ซึ่งทำหน้าที่เป็นตัวโหลดสำหรับมัลแวร์อื่น ๆ
วิธีจัดการกับภัยคุกคามในห่วงโซ่อุปทาน
แคมเปญที่ค้นพบโดย Proofpoint นั้นเป็นอีกตัวอย่างหนึ่งของผู้โจมตีที่ใช้ห่วงโซ่อุปทานซอฟต์แวร์เพื่อแพร่เชื้อโค้ดที่แชร์บนหลายแพลตฟอร์ม เพื่อขยายผลกระทบของการโจมตีที่เป็นอันตรายโดยไม่ต้องทำงานหนักอีกต่อไป
อันที่จริง มีตัวอย่างมากมายของผลกระทบระลอกคลื่นจากการโจมตีเหล่านี้ ซึ่งในปัจจุบันมีชื่อเสียงโด่งดังไปแล้ว SolarWinds และ ล็อกโฟร์เจ สถานการณ์เป็นหนึ่งในสถานการณ์ที่โดดเด่นที่สุด
โดยเดิมเริ่มเมื่อปลายเดือนธันวาคม 2020 ด้วย การละเมิด ในซอฟต์แวร์ SolarWinds Orion และแพร่กระจาย ลึกลงไปในปีหน้าด้วยการโจมตีหลายครั้งในองค์กรต่างๆ เรื่องราวหลังนี้เปิดเผยเมื่อต้นเดือนธันวาคม พ.ศ. 2021 โดยมีการค้นพบข้อบกพร่องที่เรียกว่า Log4Shell in เครื่องมือบันทึก Java ที่ใช้กันอย่างแพร่หลาย. นั่นกระตุ้นให้เกิดการโจมตีหลายครั้ง และทำให้แอปพลิเคชั่นนับล้านเสี่ยงต่อการถูกโจมตี ซึ่งหลายแห่ง ยังคงไม่ได้รับการติดตั้ง ในวันนี้
การโจมตีในห่วงโซ่อุปทานแพร่หลายมากจนผู้ดูแลระบบรักษาความปลอดภัยกำลังมองหาคำแนะนำเกี่ยวกับวิธีการป้องกันและบรรเทาผลกระทบ ซึ่งทั้งสาธารณะและ ภาคเอกชน มีความยินดีที่จะนำเสนอ
กำลังติดตาม คำสั่งผู้บริหาร ออกโดยประธานาธิบดีไบเดนเมื่อปีที่แล้ว โดยกำกับดูแลหน่วยงานของรัฐปรับปรุงความปลอดภัยและความสมบูรณ์ของห่วงโซ่อุปทานซอฟต์แวร์ สถาบันมาตรฐานและเทคโนโลยีแห่งชาติ (NIST) เมื่อต้นปีนี้ อัปเดตคำแนะนำด้านความปลอดภัยทางไซเบอร์ เพื่อจัดการกับความเสี่ยงในห่วงโซ่อุปทานของซอฟต์แวร์ ที่ สิ่งพิมพ์ รวมถึงชุดการควบคุมความปลอดภัยที่แนะนำสำหรับผู้มีส่วนได้ส่วนเสียต่างๆ เช่น ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ ผู้จัดการความเสี่ยง วิศวกรระบบ และเจ้าหน้าที่จัดซื้อ
ผู้เชี่ยวชาญด้านความปลอดภัยก็มี เสนอคำแนะนำแก่องค์กรต่างๆ เกี่ยวกับวิธีการรักษาความปลอดภัยของห่วงโซ่อุปทานให้ดีขึ้น โดยแนะนำให้พวกเขาใช้วิธีการรักษาความปลอดภัยแบบ Zero Trust ติดตามคู่ค้าบุคคลที่สามมากกว่าหน่วยงานอื่นๆ ในสภาพแวดล้อม และเลือกซัพพลายเออร์หนึ่งรายสำหรับความต้องการซอฟต์แวร์ที่มีการอัพเดตโค้ดบ่อยครั้ง
- blockchain
- กระเป๋าสตางค์ cryptocurrency
- การแลกเปลี่ยนการเข้ารหัสลับ
- การรักษาความปลอดภัยในโลกไซเบอร์
- อาชญากรไซเบอร์
- cybersecurity
- การอ่านที่มืด
- กรมความมั่นคงภายในประเทศ
- กระเป๋าสตางค์ดิจิตอล
- ไฟร์วอลล์
- Kaspersky
- มัลแวร์
- แมคคาฟี
- เน็กซ์บล๊อก
- เพลโต
- เพลโตไอ
- เพลโตดาต้าอินเทลลิเจนซ์
- เกมเพลโต
- เพลโตดาต้า
- เพลโตเกม
- VPN
- ความปลอดภัยของเว็บไซต์
