Tehdit aktörleri, ABD'deki yüzlerce gazetenin web sitelerine Socgholish JavaScript kötü amaçlı yazılım çerçevesini (FakeUpdates olarak da bilinir) dağıtmak için açıklanmayan bir medya şirketinin tehlikeye atılmış altyapısını kullanıyor.
"Söz konusu medya şirketi, büyük haber kuruluşlarına hem video içeriği hem de reklam sağlayan bir firmadır. BleepingComputer.
Bu tedarik zinciri saldırısının arkasındaki tehdit oyuncusu (Proofpoint tarafından TA569 olarak izlenir), kötü amaçlı kodları haber kuruluşlarının web siteleri tarafından yüklenen iyi huylu bir JavaScript dosyasına enjekte etti.
Bu kötü niyetli JavaScript dosyası, zip arşivi olarak teslim edilen sahte tarayıcı güncellemeleri olarak kamufle edilen kötü amaçlı yazılım yükleri ile tehlikeye atılan web sitelerini ziyaret edenlere enfekte olacak Socgholish'i yüklemek için kullanılır (örneğin, chromе.uрdatе.zip, chrome.updater.zip, firefoх.uрdatе. Zip, oper.
Proofpoint'in tehdit içgörü ekibi bugün bir Twitter iş parçacığında, "Proofpoint Tehdit Research, birçok büyük haber kuruluşuna hizmet veren bir medya şirketinde aralıklı enjeksiyonlar gözlemledi. Bu medya şirketi, JavaScript aracılığıyla ortaklarına hizmet veriyor."
"Aksi takdirde bu iyi huylu JS'nin kod tabanını değiştirerek, şimdi Socgholish'i dağıtmak için kullanılır."
Enterprise güvenlik firması Proofpoint'teki güvenlik araştırmacılarına göre, kötü amaçlı yazılım 250'den fazla ABD haber kuruluşuna ait sitelere kuruldu, bazıları büyük haber kuruluşları.
Etkilenen haber kuruluşlarının toplam sayısı şu anda bilinmemekle birlikte, Proofpoint, New York, Boston, Chicago, Miami, Washington, D.C. ve daha fazlasından etkilenen medya kuruluşlarını (ulusal haber kuruluşları dahil) bildiğini söylüyor.
Bu aktörü #TA569 olarak izliyoruz. TA569 tarihsel olarak bu kötü amaçlı JS enjeklerini dönen bir temelde kaldırdı ve eski haline getirdi. Bu nedenle yükün ve kötü niyetli içeriğin varlığı saatten saate değişebilir ve yanlış pozitif olarak kabul edilmemelidir.
Degrippo ayrıca BleepingComputer'a verdiği demeçte, "TA569, Socgholish'i dağıtmak için daha önce medya varlıklarından yararlandı ve bu kötü amaçlı yazılım potansiyel fidye yazılımı da dahil olmak üzere takip enfeksiyonlarına yol açabilir." Dedi.
Diyerek şöyle devam etti: "Durumun yakından izlenmesi gerekiyor, çünkü Proofpoint TA569'un aynı varlıkları iyileştirmesinden sadece birkaç gün sonra yeniden canlandırdığını gözlemledi."
Proofpoint daha önce, bazı durumlarda fidye yazılımı yükleri de dahil olmak üzere kullanıcıları enfekte etmek için sahte güncellemeler ve web sitesi yönlendirmelerini kullanarak Socgholish kampanyalarını gözlemlemiştir.
Evil Corp siber suçlu çetesi, düzinelerce uzlaşmış ABD gazete web sitesi aracılığıyla teslim edilen sahte yazılım güncelleme uyarıları aracılığıyla 30'dan fazla ABD özel firmasının çalışanlarını enfekte etmek için çok benzer bir kampanyada Socgholish'i kullandı.
Enfekte edilmiş bilgisayarlar daha sonra çetenin boşaltmacı fidye yazılımlarını dağıtmaya çalışan saldırılarda işverenlerin kurumsal ağlarına bir adım atma noktası olarak kullanıldı.
Neyse ki, Symantec bir raporda, Evil Corp'un 30 ABD şirketi olmak üzere 30 ABD şirketi de dahil olmak üzere birden fazla özel şirketi hedefleyen saldırılarda ihlal edilen ağları şifreleme girişimlerini engellediğini açıkladı.
Socgholish, yakın zamanda Microsoft'un Evil Corp ön-yazılım öncesi davranışı olarak tanımladığı şeyde Ahududu Robin kötü amaçlı yazılımıyla enfekte olan arka kapı ağları için de kullanılmıştır.
Güncelleme 02 Kasım, 18:22 EDT: Proofpoint ifadesi eklendi.
30 büyük ABD firmasına fidye yazılımı dağıtmaktan engellenen Evil Corp
Düzinelerce ABD haber sitesi, WastedLocker Ransomware saldırılarında hacklendi
Magento Tedarik Zinciri Saldırıları İçin Bilgisayar Hackers Breach Software Satıcısı
Emotet Botnet, 4 aylık moladan sonra kötü amaçlı yazılımları tekrar patlatmaya başlar
Romcom Rat Kötü Yazılım Kampanyası, Keepass, Solarwinds NPM, Veeam taklit ediyor
Kaynak: Bleeping Computer