媒体公司遭到供应链攻击,感染恶意软件
关键要点
- Proofpoint 的研究人员发现,与俄罗斯有关的威胁行为者在一家媒体公司的资产中注入恶意 Javascript。
- 超过 250 家美国新闻机构可能受到影响,形成潜在的供应链攻击。
- SocGholish 恶意软件可能导致后续勒索软件和其他恶意软件感染。
- 安全专家警告说,这类攻击可能在选举日临近时增加。
在近来的网络威胁中,Proofpoint 的研究人员发现,一名与俄罗斯相关的威胁行为者正在一家公司内注入恶意 Javascript 代码,该公司为超过
250 家美国新闻机构提供服务。据认为这是一起供应链攻击。
Proofpoint 在周三通过
表示,超过 250家美国新闻机构接触到了恶意的 SocGholish 恶意软件,这可能会变得非常危险。
在推文中,Proofpoint 描述了一家为许多主要新闻媒体提供视频和广告服务的媒体公司出现间歇性注入。该媒体公司通过 Javascript向其合作伙伴提供内容,威胁行为者通过修改这段原本无害的 Javascript 代码,利用这家媒体公司来部署 SocGholish 恶意软件。
SocGholish 漏洞的潜在后果
历史上,SocGholish感染通常是勒索软件的前兆,以及一些实施窃取和键盘记录的实例。最终的有效载荷依据受害者的情况及其与其他威胁行为者(利用与俄罗斯相关的 TA569进行初始访问)的关系而变化。
Proofpoint 的威胁研究与检测副总裁 Sherrod DeGrippo表示,虽然他们无法披露受攻击的媒体公司的信息,但该公司确实为主要新闻机构提供视频内容和广告服务。
DeGrippo 还指出,虽然这一威胁行为者以往有妥协内容管理系统(CMS)和托管账户的历史,但目前 Proofpoint尚无证据表明初始访问路径,这可能发生在邮件流之外。
“TA569 之前曾利用媒体资产来分发 SocGholish,而这种恶意软件可能导致后续感染,包括潜在的勒索软件。” DeGrippo
表示:“这个情况需要密切关注,因为 Proofpoint 观察到 TA569
在修复后的几天内重新感染相同的资产。解决问题一次并不够。值得记住的是,网站安全依赖于一系列资产和服务,无论你的安全措施多么强大,它也只和你引用的第三方资产质量相关。”
DeGrippo 指出,该网站在过去 24 小时内首次被观察到托管 TA569注入。受攻击的媒体公司已被通知并正在调查中,只有该媒体公司知道受影响的媒体组织的完整数量。
“即使经过修复,我们也看到 TA569 在几天后重新感染相同的资产,因此该公司和其他公司的持续攻击是可能的,” DeGrippo说。“这样的供应链攻击,单一受损资产可能导致整个网络的感染,已被证明是威胁行为者的一种成功商业模式。处于新闻行业中心的媒体公司需要保持警惕。”
政治选举前夕的网络活动增加
据 Coalfire 的执行顾问及现场首席信息安全官 Jason Hicks 称,TA569 被认为是一个与俄罗斯相关的威胁行为者。Hicks表示,由于他们与国家行为的对齐,针对媒体组织的攻击并不令人意外。
Hicks还提到,鉴于距离选举日临近,他预计这类活动会有所增加,因为在以往的美国大选中曾出现过此类行为。媒体组织拥有大量外部情报行为者感兴趣的信息,Hicks进一步强调。
“这也使他们能够在信息公开之前先获取信息,这对意识和投资都非常有用。” Hicks
说:“这些组织通常比他们报道的公司和政府机构更易被渗透,因此攻击它们是获取有用信息的更快和更简单的方法。此外,通过感染一个服务提供商,能够快速扩大影响范围,从多种来源收集数据。媒体组织也是更容易的目标,因为它们在安全方面没有任何显著的监管负担。”
