TA569 veya SocGholish olarak bilinen siber tehdit tehdidi aktörü, FakeUpdates kötü amaçlı yazılımını ABD’deki büyük medya kuruluşlarına yaymak için bir medya içeriği sağlayıcısı tarafından kullanılan JavaScript kodunu ele geçirdi.
göre tweet dizisi Çarşamba günü geç saatlerde yayınlanan Proofpoint Tehdit Araştırma Ekibinden saldırganlar, adı açıklanmayan şirketin ulusal ve bölgesel gazete web sitelerine video ve reklam sunmak için kullandığı bir uygulamanın kod tabanını kurcaladı. Tedarik zinciri saldırısı, TA569’un tipik olarak takip eden saldırılar ve fidye yazılımı teslimatı için bir ilk erişim ağı kurmak için kullanılan özel kötü amaçlı yazılımını yaymak için kullanılıyor.
Algılama zor olabilir, araştırmacılar uyardı: “TA569, bu kötü niyetli JS enjeksiyonlarını tarihsel olarak kaldırdı ve dönüşümlü olarak eski haline getirdi” tweet’lerden birine göre. “Bu nedenle, yükün ve kötü amaçlı içeriğin varlığı saatten saate değişebilir ve yanlış bir pozitif olarak kabul edilmemelidir.”
Proofpoint’e göre, Boston, Chicago, Cincinnati, Miami, New York, Palm Beach ve Washington, DC gibi şehirlere hizmet veren etkilenen medya kuruluşları ile 250’den fazla bölgesel ve ulusal gazete sitesi kötü amaçlı JavaScript’e erişti. Ancak araştırmacılar, yalnızca etkilenen medya içeriği şirketinin saldırının tüm kapsamını ve bağlı siteler üzerindeki etkisini bildiğini söyledi.
Tweetler, Proofpoint tehdit algılama analistinden alıntı yaptı tozlu millerkıdemli güvenlik araştırmacısı Kyle Eatonve kıdemli tehdit araştırmacısı Andrew Kuzey saldırının keşfi ve araştırılması için.
Evil Corp ile Tarihsel Bağlantılar
FakeUpdates, en az 2020’den beri (ancak potansiyel olarak daha önce) kullanımda olan, geçmişte yayılmak için yazılım güncellemeleri gibi görünen arabadan indirmeleri kullanan bir ilk erişim kötü amaçlı yazılım ve saldırı çerçevesidir. Daha önce, ABD hükümeti tarafından resmi olarak onaylanan şüpheli Rus siber suç grubu Evil Corp’un faaliyetleriyle bağlantılıydı.
Operatörler tipik olarak, JavaScript kod enjeksiyonları veya URL yönlendirmeleri gibi otomatik indirme mekanizması yürüten kötü amaçlı bir web sitesi barındırır ve bu da kötü amaçlı yazılım içeren bir arşiv dosyasının indirilmesini tetikler.
Symantec araştırmacıları daha önce Evil Corp’un kötü amaçlı yazılımı, daha sonra yeni bir fidye yazılımı türü olan WastedLocker’ı Temmuz 2020’de hedef ağlara indirmek için bir saldırı dizisinin parçası olarak kullandığını gözlemlemişti.
O yılın sonuna doğru, çerçeveyi kullanan doğrudan indirme saldırılarında bir artış meydana geldi ve saldırganlar, güvenliği ihlal edilmiş web sitelerini meşru bir site üzerinden sunmak için iFrame’lerden yararlanarak kötü amaçlı indirmelere ev sahipliği yaptı.
Daha yakın zamanlarda, araştırmacılar, Rus siber suçlu grubu ile diğer kötü amaçlı yazılımlar için yükleyici görevi gören solucan arasında bir bağlantı olduğunu gösteren bir hareket olan Raspberry Robin USB tabanlı solucanın mevcut enfeksiyonları aracılığıyla FakeUpdates dağıtan bir tehdit kampanyası başlattılar.
Tedarik Zinciri Tehdidine Nasıl Yaklaşılır?
Proofpoint tarafından keşfedilen kampanya, saldırganların daha fazla çalışmak zorunda kalmadan kötü niyetli saldırıların etkisini genişletmek için birden fazla platformda paylaşılan kodu bulaştırmak için yazılım tedarik zincirini kullanmalarına bir başka örnektir.
Gerçekten de, bu saldırıların sahip olabileceği dalgalanma etkisinin sayısız örneği zaten var ve şu anda kötü şöhretli SolarWinds ve Log4J senaryoları en öne çıkanlar arasında.
İlki, Aralık 2020’nin sonlarında SolarWinds Orion yazılımındaki bir ihlalle başladı ve çeşitli kuruluşlarda birden fazla saldırıyla gelecek yılın derinliklerine yayıldı. İkinci efsane, Aralık 2021’in başlarında, yaygın olarak kullanılan bir Java günlük kaydı aracında Log4Shell adlı bir kusurun keşfedilmesiyle ortaya çıktı. Bu, birden fazla açıktan yararlanmayı teşvik etti ve birçoğu bugün yama uygulanmamış olan milyonlarca uygulamayı saldırılara karşı savunmasız hale getirdi.
Tedarik zinciri saldırıları o kadar yaygın hale geldi ki, güvenlik yöneticileri, hem kamu hem de özel sektörün memnuniyetle sunduğu, bunların nasıl önleneceği ve azaltılacağı konusunda rehberlik arıyor.
Geçen yıl Başkan Biden tarafından yayınlanan ve devlet kurumlarını yazılım tedarik zincirinin güvenliğini ve bütünlüğünü geliştirmeye yönlendiren bir yürütme emrinin ardından, Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) bu yılın başlarında yazılım tedarik zinciri riskini ele almak için siber güvenlik kılavuzunu güncelledi. bu yayın siber güvenlik uzmanları, risk yöneticileri, sistem mühendisleri ve tedarik yetkilileri gibi çeşitli paydaşlar için uyarlanmış güvenlik kontrolleri setlerini içerir.
Güvenlik uzmanları ayrıca kuruluşlara tedarik zincirini nasıl daha iyi güvence altına alacakları konusunda tavsiyelerde bulunarak, güvenliğe sıfır güven yaklaşımı benimsemelerini, üçüncü taraf ortakları bir ortamdaki diğer tüm varlıklardan daha fazla izlemelerini ve yazılım ihtiyaçları için bir tedarikçi seçmelerini tavsiye etti. sık kod güncellemeleri sunar.