威胁者正在利用一家未披露的媒体公司的受损基础设施,在全美数百家报纸的网站上部署SocGholish JavaScript恶意软件框架(也称为FakeUpdates)。
"涉案的媒体公司是一家为主要新闻机构提供视频内容和广告的公司。Proofpoint专家表示:"该公司为全美不同市场的许多公司服务“。
这个供应链攻击背后的威胁者(被Proofpoint追踪为TA569)已经将恶意代码注入了一个良性的JavaScript文件,该文件被新闻机构的网站加载。
这个恶意的JavaScript文件被用来安装SocGholish,它将通过虚假的更新提醒,把恶意软件的有效载荷伪装成假的浏览器更新文件(如Chromе.Uрdatе.zip、Chrome.Updater.zip、Firefoх.Uрdatе.zip、Operа.Updаte.zip、Oper.Updte.zip)感染那些访问被攻击网站的用户。
"Proofpoint威胁研究公司在一家为许多主要新闻机构提供服务的媒体公司上观察到间歇性的注入。该媒体公司通过Javascript向其合作伙伴提供内容,通过修改原本良性的JS的代码库,来部署SocGholish。
据企业安全公司Proofpoint的安全研究人员称,该恶意软件总共被安装在250多家美国新闻机构的网站上,其中还有一些是主要新闻机构。
虽然受影响的新闻机构总数目前尚不清楚,但根据Proofpoint表示:来自纽约、波士顿、芝加哥、迈阿密、华盛顿特区等地的多家媒体机构(包括国家新闻机构)遭受影响。
我们以TA569追踪这个行为者。发现TA569在轮流删除和恢复了这些恶意的JS注入。因此,有效载荷和恶意内容的存在可能从一个小时到另一个小时有所不同,不应视为解除风险。
"这种情况需要密切关注,因为Proofpoint已经观察到TA569在修复后几天又重新感染了相同的资产。"Proofpoint之前观察到SocGholish活动使用虚假更新和网站重定向来感染用户,包括在某些情况下,赎金软件的有效载荷。
网络犯罪团伙还在一次非常类似的活动中使用SocGholish,通过几十个被攻击的美国报纸网站传递虚假的软件更新提醒,感染了30多家美国大型私营企业的员工。
被感染的电脑后来被用作进入雇主的企业网络的跳板,试图部署该团伙的WastedLocker勒索软件。
幸运的是,赛门泰克在一份报告中透露,在针对多家私营公司的攻击中,他们阻止了威胁着加密被入侵网络的企图,其中包括30家美国企业,其中8家是财富500强企业。
SocGholish最近也被用来对感染了树莓罗宾恶意软件的网络进行后门攻击,微软将其描述为网络犯罪团伙的前赎金行为。
参考文章:https://www.bleepingcomputer.com/news/security/hundreds-of-us-news-sites-push-malware-in-supply-chain-attack/