被称为 TA569 或 SocGholish 的网络威胁攻击者已经破坏了媒体内容提供商使用的 JavaScript 代码,以便传播 虚假更新 向美国主要媒体传播恶意软件。
根据一个 系列推文 Proofpoint 威胁研究团队周三晚间发布的消息称,攻击者篡改了一个应用程序的代码库,该未具名公司使用该应用程序向国家和地区报纸网站提供视频和广告服务。这 供应链攻击 被用来传播 TA569 的定制恶意软件,该恶意软件通常用于建立初始访问网络以进行后续攻击和勒索软件传递。
研究人员警告说,检测可能很棘手:“TA569 历来会轮流删除和恢复这些恶意 JS 注入”,其中一条推文称。 “因此,有效负载和恶意内容的存在可能会随时变化,不应被视为误报。”
据 Proofpoint 称,超过 250 个地区和国家报纸网站访问了恶意 JavaScript,受影响的媒体组织为波士顿、芝加哥、辛辛那提、迈阿密、纽约、棕榈滩和华盛顿特区等城市提供服务。然而,研究人员表示,只有受影响的媒体内容公司才知道攻击的全部范围及其对联属网站的影响。
推文引用了 Proofpoint 威胁检测分析师的话 尘土飞扬的米勒, 高级安全研究员 凯尔·伊顿,以及高级威胁研究员 安德鲁·诺斯 用于发现和调查攻击。
与邪恶公司的历史联系
FakeUpdates 是至少从 2020 年开始使用的初始访问恶意软件和攻击框架(但 可能更早),过去曾使用伪装成软件更新的偷渡式下载进行传播。此前,该事件与疑似俄罗斯网络犯罪组织 Evil Corp 的活动有关,该组织已受到美国政府的正式制裁。
运营商通常会托管一个恶意网站,该网站执行偷渡式下载机制(例如 JavaScript 代码注入或 URL 重定向),从而触发包含恶意软件的存档文件的下载。
赛门铁克研究人员此前观察过 Evil Corp 使用恶意软件 作为下载攻击序列的一部分 废物柜,当时是一种新的勒索软件病毒,早在 2020 年 XNUMX 月就出现在目标网络上。
偷渡式下载攻击激增 到当年年底,攻击者就使用了该框架,利用 iFrame 通过合法网站提供受感染的网站来托管恶意下载。
最近,研究人员将 威胁活动 通过基于 USB 的 Raspberry Robin 蠕虫病毒的现有感染来分发 FakeUpdates,此举表明俄罗斯网络犯罪组织与该蠕虫病毒之间存在联系,该蠕虫病毒充当其他恶意软件的加载程序。
如何应对供应链威胁
Proofpoint 发现的活动是攻击者利用软件供应链感染跨多个平台共享的代码的又一个例子,无需付出更多努力即可扩大恶意攻击的影响。
事实上,已经有很多例子说明了这些攻击可能产生的连锁反应,其中包括现在臭名昭著的 SolarWinds的 和 日志4J 场景是最突出的。
前者于 2020 年 XNUMX 月下旬开始, 违约 在 SolarWinds Orion 软件中并传播 深入明年,针对不同组织的多次攻击。后一个传奇故事于 2021 年 XNUMX 月上旬展开,发现了一个被称为 Log4Shell in 广泛使用的 Java 日志记录工具。这引发了多种漏洞利用,并使数百万个应用程序容易受到攻击,其中许多 保持未打补丁 !
供应链攻击已经变得如此普遍,以至于安全管理员正在寻求有关如何预防和缓解这些攻击的指导,公众和公众都在寻求这些指导。 私营部门 很乐意提供。
跟随 行政命令 美国国家标准与技术研究所 (NIST) 今年早些时候发布了拜登总统去年发布的指示政府机构提高软件供应链安全性和完整性的指示 更新了网络安全指南 用于解决软件供应链风险。这 刊物 包括为网络安全专家、风险经理、系统工程师和采购官员等各种利益相关者量身定制的建议安全控制措施。
安全专业人员还拥有 提供组织建议 关于如何更好地保护供应链,建议他们采取零信任的安全方法,比环境中的任何其他实体更多地监控第三方合作伙伴,并选择一个能够满足频繁代码更新的软件需求的供应商。
