Tác nhân đe dọa mạng được gọi là TA569 hoặc SocGholish, đã xâm phạm mã JavaScript được nhà cung cấp nội dung phương tiện sử dụng để phát tán mã độc. Cập nhật giả mạo phần mềm độc hại cho các phương tiện truyền thông lớn trên khắp Hoa Kỳ.
Theo một loạt các tweet từ Nhóm nghiên cứu mối đe dọa Proofpoint được đăng vào cuối ngày thứ Tư, những kẻ tấn công đã can thiệp vào cơ sở mã của một ứng dụng mà công ty giấu tên sử dụng để phân phát video và quảng cáo cho các trang web báo chí quốc gia và khu vực. Các tấn công chuỗi cung ứng đang được sử dụng để phát tán phần mềm độc hại tùy chỉnh của TA569, phần mềm này thường được sử dụng để thiết lập mạng truy cập ban đầu cho các cuộc tấn công tiếp theo và phân phối phần mềm tống tiền.
Theo một trong các tweet, việc phát hiện có thể khó khăn, các nhà nghiên cứu cảnh báo: “TA569 đã loại bỏ và khôi phục các lần tiêm JS độc hại này trong lịch sử một cách luân phiên”. “Do đó, sự hiện diện của tải trọng và nội dung độc hại có thể thay đổi theo từng giờ và không được coi là dương tính giả.”
Theo Proofpoint, hơn 250 trang báo khu vực và quốc gia đã truy cập JavaScript độc hại, với các tổ chức truyền thông bị ảnh hưởng phục vụ các thành phố như Boston, Chicago, Cincinnati, Miami, New York, Palm Beach và Washington, DC. Tuy nhiên, chỉ có công ty nội dung truyền thông bị ảnh hưởng mới biết toàn bộ phạm vi của cuộc tấn công và tác động của nó đối với các trang web liên kết, các nhà nghiên cứu cho biết.
Các tweet đã trích dẫn nhà phân tích phát hiện mối đe dọa Proofpoint cối xay bụi, nhà nghiên cứu bảo mật cấp cao Kyle Eaton, và nhà nghiên cứu mối đe dọa cao cấp Andrew Bắc để phát hiện và điều tra cuộc tấn công.
Liên kết lịch sử với Evil Corp
FakeUpdates là một phần mềm độc hại truy cập ban đầu và khuôn khổ tấn công được sử dụng ít nhất là từ năm 2020 (nhưng có khả năng sớm hơn), mà trước đây đã sử dụng lượt tải xuống từng ổ đĩa giả dạng là bản cập nhật phần mềm để phổ biến. Nó trước đây có liên quan đến hoạt động của nhóm tội phạm mạng Evil Corp của Nga, nhóm đã bị chính phủ Hoa Kỳ chính thức trừng phạt.
Các nhà khai thác thường lưu trữ một trang web độc hại thực thi cơ chế tải xuống theo từng ổ đĩa — chẳng hạn như chèn mã JavaScript hoặc chuyển hướng URL — từ đó kích hoạt tải xuống tệp lưu trữ có chứa phần mềm độc hại.
Các nhà nghiên cứu của Symantec trước đây đã quan sát Evil Corp sử dụng phần mềm độc hại như một phần của chuỗi tấn công để tải xuống WastLocker, sau đó là một chủng ransomware mới, trên các mạng mục tiêu vào tháng 2020 năm XNUMX.
Sự gia tăng của các cuộc tấn công tải xuống theo ổ đĩa đã sử dụng khung này vào cuối năm đó, với việc những kẻ tấn công lưu trữ các bản tải xuống độc hại bằng cách tận dụng iFrames để phục vụ các trang web bị xâm nhập thông qua một trang web hợp pháp.
Gần đây hơn, các nhà nghiên cứu gắn chiến dịch đe dọa phân phối FakeUpdates thông qua việc lây nhiễm sâu Raspberry Robin dựa trên USB hiện có, một động thái biểu thị mối liên hệ giữa nhóm tội phạm mạng Nga và sâu, hoạt động như một trình tải cho phần mềm độc hại khác.
Làm thế nào để tiếp cận mối đe dọa chuỗi cung ứng
Chiến dịch được Proofpoint phát hiện là một ví dụ khác về những kẻ tấn công sử dụng chuỗi cung ứng phần mềm để lây nhiễm mã được chia sẻ trên nhiều nền tảng, nhằm mở rộng tác động của cuộc tấn công độc hại mà không cần phải nỗ lực nhiều hơn nữa.
Thật vậy, đã có rất nhiều ví dụ về hiệu ứng gợn mà các cuộc tấn công này có thể gây ra, với SolarWinds và Nhật ký4J kịch bản là một trong những nổi bật nhất.
Cái trước bắt đầu vào cuối tháng 2020 năm XNUMX với một sự vi phạm trong phần mềm SolarWinds Orion và lây lan sâu vào năm tới, với nhiều cuộc tấn công vào các tổ chức khác nhau. Câu chuyện thứ hai diễn ra vào đầu tháng 2021 năm XNUMX, với việc phát hiện ra một lỗ hổng có tên là Nhật ký4Shell in một công cụ ghi nhật ký Java được sử dụng rộng rãi. Điều đó đã thúc đẩy nhiều vụ khai thác và khiến hàng triệu ứng dụng dễ bị tấn công, nhiều trong số đó vẫn chưa được vá hôm nay.
Các cuộc tấn công chuỗi cung ứng đã trở nên phổ biến đến mức các quản trị viên bảo mật đang tìm kiếm hướng dẫn về cách ngăn chặn và giảm thiểu chúng, mà cả công chúng và khu vực tư nhân đã được hạnh phúc để cung cấp.
Sau một mệnh lệnh hành pháp do Tổng thống Biden ban hành năm ngoái chỉ đạo các cơ quan chính phủ cải thiện tính bảo mật và tính toàn vẹn của chuỗi cung ứng phần mềm, Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST) vào đầu năm nay đã cập nhật hướng dẫn an ninh mạng để giải quyết rủi ro chuỗi cung ứng phần mềm. Các công bố bao gồm các bộ kiểm soát bảo mật được đề xuất phù hợp cho các bên liên quan khác nhau, chẳng hạn như chuyên gia an ninh mạng, người quản lý rủi ro, kỹ sư hệ thống và quan chức mua sắm.
Các chuyên gia bảo mật cũng có tổ chức đưa ra lời khuyên về cách bảo mật chuỗi cung ứng tốt hơn, khuyến nghị họ nên áp dụng phương pháp bảo mật không tin cậy, giám sát các đối tác bên thứ ba nhiều hơn bất kỳ thực thể nào khác trong môi trường và chọn một nhà cung cấp cho nhu cầu phần mềm cung cấp các bản cập nhật mã thường xuyên.
