Зловмисник кіберзагроз, відомий як TA569 або SocGholish, зламав код JavaScript, який використовується постачальником медіаконтенту, щоб поширити FakeUpdates зловмисне програмне забезпечення для основних засобів масової інформації в США.
У відповідності з серія твітів У звіті групи дослідження загроз Proofpoint, опублікованому ввечері в середу, зловмисники втрутилися в кодову базу програми, яку неназвана компанія використовує для розміщення відео та реклами на веб-сайтах національних і регіональних газет. The атака ланцюга поставок використовується для розповсюдження спеціального шкідливого програмного забезпечення TA569, яке зазвичай використовується для створення початкової мережі доступу для наступних атак і доставки програм-вимагачів.
Виявлення може бути складним, попереджають дослідники: «TA569 історично видаляв і відновлював ці шкідливі ін’єкти JS на основі ротації», згідно з одним із твітів. «Тому наявність корисного навантаження та шкідливого вмісту може змінюватися щогодини, і це не повинно вважатися хибним спрацьовуванням».
За даними Proofpoint, понад 250 регіональних і національних газетних сайтів отримали доступ до шкідливого JavaScript, при цьому постраждали медіа-організації, які обслуговують такі міста, як Бостон, Чикаго, Цинциннаті, Маямі, Нью-Йорк, Палм-Біч і Вашингтон, округ Колумбія. Проте лише постраждала компанія медіаконтенту знає повний спектр атаки та її вплив на афілійовані сайти, кажуть дослідники.
Твіти посилалися на аналітика виявлення загроз Proofpoint Дасті Міллер, старший науковий співробітник з безпеки Кайл Ітон, і старший дослідник загроз Андрій Північний для розкриття та розслідування нападу.
Історичні зв’язки з Evil Corp
FakeUpdates — це зловмисне програмне забезпечення для початкового доступу та структура атак, яка використовується принаймні з 2020 року (але потенційно раніше), який у минулому для поширення використовував випадкові завантаження, які маскувались під оновлення програмного забезпечення. Раніше його пов’язували з діяльністю підозрюваної російської кіберзлочинної групи Evil Corp, проти якої уряд США офіційно ввів санкції.
Зазвичай оператори розміщують зловмисний веб-сайт, який використовує механізм автоматичного завантаження — наприклад, ін’єкції коду JavaScript або переспрямування URL-адрес — що, у свою чергу, запускає завантаження архівного файлу, який містить шкідливе програмне забезпечення.
Дослідники Symantec раніше спостерігали за Evil Corp за допомогою шкідливого програмного забезпечення як частину послідовності атаки для завантаження WastedLocker, потім новий штам програм-вимагачів у цільових мережах ще в липні 2020 року.
Сплеск атак із завантаженням через Drive-by який використовував структуру, використану наприкінці того ж року, при цьому зловмисники розміщували зловмисні завантаження, використовуючи iFrames для обслуговування скомпрометованих веб-сайтів через законний сайт.
Зовсім недавно дослідники зв'язали кампанія погроз розповсюдження FakeUpdates через існуючі зараження USB-хробаком Raspberry Robin, що вказує на зв’язок між російською кіберзлочинною групою та хробаком, який діє як завантажувач для інших шкідливих програм.
Як підійти до загрози ланцюга постачання
Кампанія, виявлена Proofpoint, є ще одним прикладом того, як зловмисники використовують ланцюжок постачання програмного забезпечення для зараження коду, який спільно використовується на кількох платформах, щоб розширити вплив зловмисної атаки без необхідності докладати більше зусиль.
Дійсно, вже було багато прикладів хвильового ефекту, який можуть мати ці атаки, з нині сумнозвісним SolarWinds та Log4J сценарії є одними з найвидатніших.
Перший почався наприкінці грудня 2020 року с порушення у програмному забезпеченні SolarWinds Orion і поширюйте глибоко в наступний рік, з численними атаками на різні організації. Остання сага розгорнулася на початку грудня 2021 року з виявленням недоліку, який отримав назву Log4Shell in широко використовуваний інструмент журналювання Java. Це спричинило численні експлойти та зробило мільйони програм уразливими для атак, багато з яких залишаються незаправленими сьогодні.
Атаки на ланцюги поставок стали настільки поширеними, що адміністратори безпеки шукають вказівок щодо того, як їх запобігти та пом’якшити, що стосується як громадськості, так і приватний сектор були раді запропонувати.
Після виконавчий наказ виданий президентом Байденом минулого року, який наказує державним установам покращити безпеку та цілісність ланцюга постачання програмного забезпечення, Національний інститут стандартів і технологій (NIST) на початку цього року оновив свої інструкції з кібербезпеки для усунення ризиків ланцюжка постачання програмного забезпечення. The публікація включає спеціальні набори пропонованих заходів безпеки для різних зацікавлених сторін, таких як спеціалісти з кібербезпеки, менеджери з ризиків, системні інженери та посадові особи з закупівель.
Професіонали з безпеки також мають пропонував організації консультації про те, як краще захистити ланцюжок постачання, рекомендуючи застосувати підхід нульової довіри до безпеки, стежити за сторонніми партнерами більше, ніж за будь-якою іншою організацією в середовищі, і вибрати одного постачальника програмного забезпечення, який пропонує часті оновлення коду.
