威胁行为者正在利用一家未公开的媒体公司受损的基础设施来部署SocGholishJavaScript恶意软件框架,也称为FakeUpdates)。“涉及的媒体公司是一家为主要新闻机构提供视频内容和广告的公司。该公司为全美不同市场的许多公司提供服务,”Proofpoint专家表示。此次供应链攻击背后的威胁行为者(Proofpoint追踪为TA569)已将恶意代码注入新闻机构网站加载的良性JavaScript文件中。这个恶意JavaScript文件用于安装SocGholish,它会传递虚假的更新警报,将恶意软件负载伪装成虚假的浏览器更新文件(例如Chromе.Uрdateе.zip、Chrome.Updater.zip、Firefoxх.Uрdatе.zip、Operа.Updàte.zip,Oper.Updte.zip)以感染访问受攻击网站的用户。”ProofpointThreatResearch该公司观察到一家服务于许多主要新闻机构的媒体公司间歇性注入。这家媒体公司通过Javascript向其合作伙伴提供内容,通过修改原本良性的JS代码库部署了SocGholish。据企业安全公司Proofpoint的安全研究人员称,该恶意软件总共安装在250多家美国新闻机构的网站上,其中包括一些主要新闻机构。虽然新闻总数据Proofpoint称,受影响的组织目前未知:纽约、波士顿、芝加哥、迈阿密、华盛顿特区的多家媒体组织(包括国家新闻机构)。C.,更多的人受到影响。我们用TA569跟踪了这个演员。发现TA569依次删除和恢复这些恶意JS注入。因此,有效负载和恶意内容的存在可能会因一小时而异,不应被视为禁用风险。“这种情况值得密切关注,因为Proofpoint观察到TA569在修复后几天再次感染相同的资产。”Proofpoint之前观察到SocGholish活动使用虚假更新和网站重定向来感染用户,在某些情况下包括勒索软件负载。网络犯罪团伙还在一场非常相似的活动中使用SocGholish,通过数十家被黑的美国报纸网站提供虚假的软件更新警报,感染了30多家美国大型私营公司的员工。受感染的计算机后来被用作进入雇主公司网络的跳板,试图部署该团伙的WastedLocker勒索软件。幸运的是,赛门铁克在一份报告中透露,他们在对几家私营公司的攻击中挫败了破坏威胁加密的网络的企图,其中包括30家美国公司,其中8家是财富500强企业。SocGholish最近还被用于感染RaspberryRobin恶意软件的后门网络,微软将其描述为网络犯罪团伙的前勒索行动。参考文章:https://www.bleepingcomputer.com/news/security/hundreds-of-us-news-sites-push-malware-in-supply-chain-attack/
