攻撃者は、公開されていないメディア企業の侵害されたインフラストラクチャを使用して、SocGholish JavaScript マルウェア フレームワーク (FakeUpdates としても知られる) を米国中の何百もの新聞の Web サイトに展開していることがわかりました。
「問題のメディア企業は、ビデオ コンテンツと広告の両方を主要な報道機関に提供する企業です。全米のさまざまな市場のさまざまな企業にサービスを提供しています」と、Proofpoint の脅威調査および検出担当副社長である Sherrod DeGrippo 氏はコメントしています
このサプライ チェーン攻撃 (Proofpoint が TA569 として追跡) の背後にいる脅威グループは、報道機関の Web サイトによって読み込まれる無害な JavaScript ファイルに悪意のあるコードを挿入しました。
この悪意のある JavaScript ファイルは、SocGholish をインストールするために使用されます。SocGholish は、侵害された Web サイトにアクセスしたユーザーを、ZIP アーカイブ (例: Chromе.Uрdateе.zip、Chrome.Updater.zip、Firefoх.Uрdateе. zip、Operа.Update.zip、Oper.Updte.zip) を偽のアップデート アラート経由で送信します。
「Proofpoint Threat Research は、多くの主要な報道機関にサービスを提供するメディア企業で断続的なインジェクションを観測しました。このメディア企業は、Javascript を介してコンテンツをパートナーに提供しています」と、Proofpoint の Threat Insight チームは本日、Twitter スレッドで明らかにしました。
「この無害な JS のコードベースを変更することで、SocGholish の展開に使用されていうます」
エンタープライズ セキュリティ企業 Proofpoint のセキュリティ研究者によると、マルウェアは合計で 250 を超える米国の報道機関に属するサイトにインストールされており、そのうちのいくつかは主要な報道機関でした。
影響を受けた報道機関の総数は現在のところ不明ですが、Proofpoint は、ニューヨーク、ボストン、シカゴ、マイアミ、ワシントン DC などの影響を受けた報道機関 (全国報道機関を含む) を知っていると述べています。
このアクターは#TA569として追跡されます。 TA569 はこれまで、これらの悪意のある JS インジェクションを定期的に削除して復活させてきました。したがって、ペイロードと悪意のあるコンテンツの存在は時間ごとに変化する可能性があり、誤検知と見なすべきではありません。
— 脅威の洞察 (@threatinsight) 2022 年 11 月 2 日
「TA569 は以前、メディア資産を利用して SocGholish を配布していました。このマルウェアは、潜在的なランサムウェアを含む追加の感染につながる可能性があります」と DeGrippo 氏は語っています。
「Proofpoint は TA569 が修復の数日後に同じ資産に再感染することを確認しているため、状況を注意深く監視する必要があります。」
ランサムウェア攻撃へのリンク
Proofpoint は以前、偽の更新プログラムと Web サイトのリダイレクトを使用してユーザーを感染させる SocGholish キャンペーンを観察しており、場合によってはランサムウェアのペイロードも含まれています。
Evil Corp のサイバー犯罪集団も、非常によく似たキャンペーンでSocGholish を使用して、侵害された数十の米国の新聞 Web サイトから配信される偽のソフトウェア更新アラートを介して、30 以上の主要な米国の民間企業の従業員を感染させました。
感染したコンピューターは、その後、ギャングの WastedLocker ランサムウェアを展開しようとする攻撃で、雇用主の企業ネットワークへの足がかりとして使用されました。
幸いなことに、Symantec はレポートの中で、 Evil Corp が侵入したネットワークを暗号化しようとする試みをブロックしたことを明らかにしました。これは、米国企業 30 社を含む複数の民間企業 (うち 8 社は Fortune 500 企業) を標的とした攻撃でした。
SocGholish は最近、Microsoft がEvil Corp のプレランサムウェア動作と表現する Raspberry Robin マルウェアに感染したバックドア ネットワークにも使用されています。
Comments