TA569 veya SocGholish olarak bilinen siber tehdit tehdidi aktörü, bir medya içeriği sağlayıcısı tarafından virüsü yaymak için kullanılan JavaScript kodunu ele geçirdi. Sahte Güncellemeler ABD'deki büyük medya kuruluşlarına kötü amaçlı yazılım.
Bir göre tweets dizisi Proofpoint Tehdit Araştırma Ekibi'nin Çarşamba günü geç saatlerde yayınladığı bir bilgiye göre, saldırganlar, adı açıklanmayan şirketin ulusal ve bölgesel gazete web sitelerine video ve reklam sunmak için kullandığı bir uygulamanın kod tabanını kurcaladı. bu tedarik zinciri saldırısı TA569'un genellikle takip eden saldırılar ve fidye yazılımı teslimi için bir ilk erişim ağı kurmak için kullanılan özel kötü amaçlı yazılımını yaymak için kullanılıyor.
Araştırmacılar, tweet'lerden birine göre "TA569, bu kötü niyetli JS enjeksiyonlarını dönüşümlü olarak tarihsel olarak kaldırdı ve eski haline getirdi" diye uyardı. "Bu nedenle, yükün ve kötü amaçlı içeriğin varlığı saatten saate değişebilir ve yanlış bir pozitif olarak değerlendirilmemelidir."
Proofpoint'e göre 250'den fazla bölgesel ve ulusal gazete sitesi kötü amaçlı JavaScript'e erişti ve etkilenen medya kuruluşları Boston, Chicago, Cincinnati, Miami, New York, Palm Beach ve Washington, DC gibi şehirlere hizmet verdi. Ancak araştırmacılar, yalnızca etkilenen medya içeriği şirketinin saldırının tüm kapsamını ve bağlı siteler üzerindeki etkisini bildiğini söyledi.
Tweet'ler, Proofpoint tehdit algılama analistine atıfta bulundu tozlu miller, kıdemli güvenlik araştırmacısı Kyle Eatonve kıdemli tehdit araştırmacısı Andrew Kuzey saldırının keşfi ve araştırılması için.
Evil Corp ile Tarihsel Bağlantılar
FakeUpdates, en az 2020'den beri kullanımda olan bir ilk erişim kötü amaçlı yazılım ve saldırı çerçevesidir (ancak potansiyel olarak daha erken), geçmişte yaymak için yazılım güncellemeleri kılığına girerek arabadan indirmeleri kullandı. Daha önce, ABD hükümeti tarafından resmi olarak yaptırım uygulanan şüpheli Rus siber suç grubu Evil Corp'un faaliyetleriyle ilişkilendirilmişti.
Operatörler genellikle, JavaScript kod enjeksiyonları veya URL yönlendirmeleri gibi, sonradan kötü amaçlı yazılım içeren bir arşiv dosyasının indirilmesini tetikleyen bir indirme mekanizması yürüten kötü amaçlı bir web sitesi barındırır.
Symantec araştırmacıları daha önce Evil Corp'u gözlemledi kötü amaçlı yazılımı kullanma indirmek için bir saldırı dizisinin parçası olarak WastedLocker, ardından Temmuz 2020'de hedef ağlarda yeni bir fidye yazılımı türü.
Drive-by indirme saldırılarında artış o yılın sonuna doğru izlenen çerçeveyi kullanan saldırganlar, meşru bir site aracılığıyla güvenliği ihlal edilmiş web sitelerini sunmak için iFrame'lerden yararlanarak kötü amaçlı indirmeler barındırıyordu.
Daha yakın zamanlarda, araştırmacılar bağladı bir tehdit kampanyası Rus siber suç grubu ile diğer kötü amaçlı yazılımlar için bir yükleyici görevi gören solucan arasında bir bağlantı olduğunu gösteren bir hareket olan Raspberry Robin USB tabanlı solucanın mevcut bulaşmaları yoluyla FakeUpdates'in dağıtılması.
Tedarik Zinciri Tehditine Nasıl Yaklaşılır?
Proofpoint tarafından keşfedilen kampanya, daha fazla çalışmak zorunda kalmadan kötü niyetli saldırının etkisini genişletmek için yazılım tedarik zincirini birden çok platformda paylaşılan kodu etkilemek için kullanan saldırganların bir başka örneğidir.
Gerçekten de, bu saldırıların sahip olabileceği dalgalanma etkisinin çok sayıda örneği zaten var; SolarWinds ve Log4J senaryolar en öne çıkanlar arasındadır.
İlki, Aralık 2020'nin sonlarında başladı. ihlal SolarWinds Orion yazılımında ve yayılmasında gelecek yılın derinliklerinde, çeşitli kuruluşlar genelinde çoklu saldırılarla. İkinci destan, Aralık 2021'in başlarında, adı verilen bir kusurun keşfedilmesiyle ortaya çıktı. Log4Shell in yaygın olarak kullanılan bir Java günlük kaydı aracı. Bu, birden fazla açıktan yararlanmayı teşvik etti ve milyonlarca uygulamayı saldırılara karşı savunmasız hale getirdi. yamasız kal bugün.
Tedarik zinciri saldırıları o kadar yaygın hale geldi ki, güvenlik yöneticileri hem kamu hem de kamu tarafından saldırıların nasıl önleneceği ve hafifletileceği konusunda rehberlik arıyor. özel sektör sunmaktan mutluluk duyduk.
Takip etme bir yönetici emir Başkan Biden tarafından geçen yıl yayınlanan ve bu yılın başlarında Ulusal Standartlar ve Teknoloji Enstitüsü'nün (NIST) yazılım tedarik zincirinin güvenliğini ve bütünlüğünü iyileştirmesi için devlet kurumlarına talimat verdi. siber güvenlik kılavuzunu güncelledi yazılım tedarik zinciri riskini ele almak için. bu yayın siber güvenlik uzmanları, risk yöneticileri, sistem mühendisleri ve satın alma görevlileri gibi çeşitli paydaşlar için özel olarak hazırlanmış önerilen güvenlik kontrolleri setlerini içerir.
Güvenlik profesyonellerinin de önerilen kuruluşlar tavsiyesi güvenliğe sıfır güven yaklaşımı benimsemelerini, bir ortamdaki diğer tüm varlıklardan daha fazla üçüncü taraf ortakları izlemelerini ve yazılım ihtiyaçları için sık kod güncellemeleri sunan bir tedarikçi seçmelerini tavsiye ediyor.
