行业动态

防御吧作为15年知名老牌域名服务商,CNNIC和CANN双认证域名注册商,已经
持续为500多万个域名提供服务,包括智能DNS/自由转移/隐私保护等服务!
数百家美国新闻网站遭供应链攻击推送恶意软件
2022-11-03 11:56:51 【

威胁者正在利用一家未披露的媒体公司的受损基础设施,在全美数百家报纸的网站上部署SocGholish java script恶意软件框架(也称为FakeUpdates)。


"涉案的媒体公司是一家为主要新闻机构提供视频内容和广告的公司。Proofpoint专家表示:"该公司为全美不同市场的许多公司服务“。


这个供应链攻击背后的威胁者(被Proofpoint追踪为TA569)已经将恶意代码注入了一个良性的java script文件,该文件被新闻机构的网站加载。


这个恶意的java script文件被用来安装SocGholish,它将通过虚假的更新提醒,把恶意软件的有效载荷伪装成假的浏览器更新文件(如Chromе.Uрdatе.zip、Chrome.Updater.zip、Firefoх.Uрdatе.zip、Operа.Updаte.zip、Oper.Updte.zip)感染那些访问被攻击网站的用户。


"Proofpoint威胁研究公司在一家为许多主要新闻机构提供服务的媒体公司上观察到间歇性的注入。该媒体公司通过java script向其合作伙伴提供内容,通过修改原本良性的JS的代码库,来部署SocGholish。



据企业安全公司Proofpoint的安全研究人员称,该恶意软件总共被安装在250多家美国新闻机构的网站上,其中还有一些是主要新闻机构。


虽然受影响的新闻机构总数目前尚不清楚,但根据Proofpoint表示:来自纽约、波士顿、芝加哥、迈阿密、华盛顿特区等地的多家媒体机构(包括国家新闻机构)遭受影响。


我们以TA569追踪这个行为者。发现TA569在轮流删除和恢复了这些恶意的JS注入。因此,有效载荷和恶意内容的存在可能从一个小时到另一个小时有所不同,不应视为解除风险。


"这种情况需要密切关注,因为Proofpoint已经观察到TA569在修复后几天又重新感染了相同的资产。"Proofpoint之前观察到SocGholish活动使用虚假更新和网站重定向来感染用户,包括在某些情况下,赎金软件的有效载荷。


网络犯罪团伙还在一次非常类似的活动中使用SocGholish,通过几十个被攻击的美国报纸网站传递虚假的软件更新提醒,感染了30多家美国大型私营企业的员工。


被感染的电脑后来被用作进入雇主的企业网络的跳板,试图部署该团伙的WastedLocker勒索软件。


幸运的是,赛门泰克在一份报告中透露,在针对多家私营公司的攻击中,他们阻止了威胁着加密被入侵网络的企图,其中包括30家美国企业,其中8家是财富500强企业。


SocGholish最近也被用来对感染了树莓罗宾恶意软件的网络进行后门攻击,微软将其描述为网络犯罪团伙的前赎金行为。


】【打印关闭】 【返回顶部
分享到QQ空间
分享到: 
上一篇浅谈量子技术及其对网络安全的影响 下一篇预防DDOS攻击的六大方法

立足首都,辐射全球,防御吧专注云防御及云计算服务15年!

联系我们

服务热线:010-56157787 ,010-56159998
企业QQ:4000043998
技术支持:010-56159998
E-Mail:800@fangyuba.com
Copyright ? 2003-2016 fangyuba. 防御吧(完美解决防御与加速) 版权所有 增值许可:京B2-20140042号
售前咨询
公司总机:4000043998 01056155355
24小时电话:010-56159998
投诉电话:18910191973
值班售后/技术支持
售后服务/财务
备案专员
紧急电话:18610088800