Зловмисник кіберзагроз, відомий як TA569 або SocGholish, зламав код JavaScript, який використовується постачальником медіаконтенту, щоб поширити FakeUpdates зловмисне програмне забезпечення для основних засобів масової інформації в США.
У відповідності з серія твітів У звіті групи дослідження загроз Proofpoint, опублікованому ввечері в середу, зловмисники втрутилися в кодову базу програми, яку неназвана компанія використовує для розміщення відео та реклами на веб-сайтах національних і регіональних газет. The атака ланцюга поставок is being used to spread TA569’s custom malware, which is typically employed to establish an initial access network for follow-on attacks and ransomware delivery.
Detection might be tricky, the researchers warned: “TA569 historically removed and reinstated these malicious JS injects on a rotating basis,” according to one of the tweets. “Therefore the presence of the payload and malicious content can vary from hour to hour and shouldn’t be considered a false positive.”
За даними Proofpoint, понад 250 регіональних і національних газетних сайтів отримали доступ до шкідливого JavaScript, при цьому постраждали медіа-організації, які обслуговують такі міста, як Бостон, Чикаго, Цинциннаті, Маямі, Нью-Йорк, Палм-Біч і Вашингтон, округ Колумбія. Проте лише постраждала компанія медіаконтенту знає повний спектр атаки та її вплив на афілійовані сайти, кажуть дослідники.
Твіти посилалися на аналітика виявлення загроз Proofpoint Дасті Міллер, старший науковий співробітник з безпеки Кайл Ітон, і старший дослідник загроз Андрій Північний для розкриття та розслідування нападу.
Історичні зв’язки з Evil Corp
FakeUpdates — це зловмисне програмне забезпечення для початкового доступу та структура атак, яка використовується принаймні з 2020 року (але потенційно раніше), який у минулому для поширення використовував випадкові завантаження, які маскувались під оновлення програмного забезпечення. Раніше його пов’язували з діяльністю підозрюваної російської кіберзлочинної групи Evil Corp, проти якої уряд США офіційно ввів санкції.
Зазвичай оператори розміщують зловмисний веб-сайт, який використовує механізм автоматичного завантаження — наприклад, ін’єкції коду JavaScript або переспрямування URL-адрес — що, у свою чергу, запускає завантаження архівного файлу, який містить шкідливе програмне забезпечення.
Дослідники Symantec раніше спостерігали за Evil Corp за допомогою шкідливого програмного забезпечення як частину послідовності атаки для завантаження WastedLocker, потім новий штам програм-вимагачів у цільових мережах ще в липні 2020 року.
Сплеск атак із завантаженням через Drive-by який використовував структуру, використану наприкінці того ж року, при цьому зловмисники розміщували зловмисні завантаження, використовуючи iFrames для обслуговування скомпрометованих веб-сайтів через законний сайт.
Зовсім недавно дослідники зв'язали кампанія погроз розповсюдження FakeUpdates через існуючі зараження USB-хробаком Raspberry Robin, що вказує на зв’язок між російською кіберзлочинною групою та хробаком, який діє як завантажувач для інших шкідливих програм.
Як підійти до загрози ланцюга постачання
The campaign discovered by Proofpoint is yet another example of attackers using the software supply chain to infect code that’s shared across multiple platforms, to broaden the impact of malicious attack without having to work any harder.
Дійсно, вже було багато прикладів хвильового ефекту, який можуть мати ці атаки, з нині сумнозвісним SolarWinds та Log4J сценарії є одними з найвидатніших.
Перший почався наприкінці грудня 2020 року с порушення у програмному забезпеченні SolarWinds Orion і поширюйте глибоко в наступний рік, з численними атаками на різні організації. Остання сага розгорнулася на початку грудня 2021 року з виявленням недоліку, який отримав назву Log4Shell in широко використовуваний інструмент журналювання Java. Це спричинило численні експлойти та зробило мільйони програм уразливими для атак, багато з яких залишаються незаправленими сьогодні.
Атаки на ланцюги поставок стали настільки поширеними, що адміністратори безпеки шукають вказівок щодо того, як їх запобігти та пом’якшити, що стосується як громадськості, так і приватний сектор були раді запропонувати.
Після виконавчий наказ виданий президентом Байденом минулого року, який наказує державним установам покращити безпеку та цілісність ланцюга постачання програмного забезпечення, Національний інститут стандартів і технологій (NIST) на початку цього року оновив свої інструкції з кібербезпеки для усунення ризиків ланцюжка постачання програмного забезпечення. The публікація включає спеціальні набори пропонованих заходів безпеки для різних зацікавлених сторін, таких як спеціалісти з кібербезпеки, менеджери з ризиків, системні інженери та посадові особи з закупівель.
Професіонали з безпеки також мають пропонував організації консультації про те, як краще захистити ланцюжок постачання, рекомендуючи застосувати підхід нульової довіри до безпеки, стежити за сторонніми партнерами більше, ніж за будь-якою іншою організацією в середовищі, і вибрати одного постачальника програмного забезпечення, який пропонує часті оновлення коду.
