Tehdit aktörleri, ABD'deki yüzlerce gazetenin web sitelerine Socgholish JavaScript kötü amaçlı yazılım çerçevesini (FakeUpdates olarak da bilinir) dağıtmak için açıklanmayan bir medya şirketinin tehlikeye atılmış altyapısını kullanıyor.
Bu tedarik zinciri saldırısının arkasındaki tehdit oyuncusu (Proofpoint tarafından TA569 olarak izlenir), kötü amaçlı kodları haber kuruluşlarının web siteleri tarafından yüklenen iyi huylu bir JavaScript dosyasına enjekte etti.
Bu kötü niyetli JavaScript dosyası, zip arşivi olarak teslim edilen sahte tarayıcı güncellemeleri olarak kamufle edilen kötü amaçlı yazılım yükleri ile tehlikeye atılan web sitelerini ziyaret edenlere enfekte olacak Socgholish'i yüklemek için kullanılır (örneğin, chromе.uрdatе.zip, chrome.updater.zip, firefoх.uрdatе. Zip, oper.
Proofpoint'in tehdit içgörü ekibi bugün bir Twitter iş parçacığında, "Proofpoint Tehdit Research, birçok büyük haber kuruluşuna hizmet veren bir medya şirketinde aralıklı enjeksiyonlar gözlemledi. Bu medya şirketi, JavaScript aracılığıyla ortaklarına hizmet veriyor."
"Aksi takdirde bu iyi huylu JS'nin kod tabanını değiştirerek, şimdi Socgholish'i dağıtmak için kullanılır."
Enterprise güvenlik firması Proofpoint'teki güvenlik araştırmacılarına göre, kötü amaçlı yazılım 250'den fazla ABD haber kuruluşuna ait sitelere kuruldu, bazıları büyük haber kuruluşları.
Etkilenen haber kuruluşlarının toplam sayısı şu anda bilinmemekle birlikte, Proofpoint, New York, Boston, Chicago, Miami, Washington, D.C. ve daha fazlasından etkilenen medya kuruluşlarını (ulusal haber kuruluşları dahil) bildiğini söylüyor.
Bu aktörü #TA569 olarak izliyoruz. TA569 tarihsel olarak bu kötü amaçlı JS enjeklerini dönen bir temelde kaldırdı ve eski haline getirdi. Bu nedenle yükün ve kötü niyetli içeriğin varlığı saatten saate değişebilir ve yanlış pozitif olarak kabul edilmemelidir.
Proofpoint daha önce, bazı durumlarda fidye yazılımı yükleri de dahil olmak üzere kullanıcıları enfekte etmek için sahte güncellemeler ve web sitesi yönlendirmelerini kullanarak Socgholish kampanyalarını gözlemlemiştir.
Evil Corp siber suçlu çetesi, düzinelerce uzlaşmış ABD gazete web sitesi aracılığıyla teslim edilen sahte yazılım güncelleme uyarıları aracılığıyla 30'dan fazla ABD özel firmasının çalışanlarını enfekte etmek için çok benzer bir kampanyada Socgholish'i kullandı.
Enfekte edilmiş bilgisayarlar daha sonra çetenin boşaltmacı fidye yazılımlarını dağıtmaya çalışan saldırılarda işverenlerin kurumsal ağlarına bir adım atma noktası olarak kullanıldı.
Neyse ki, Symantec bir raporda, Evil Corp'un 30 ABD şirketi olmak üzere 30 ABD şirketi de dahil olmak üzere birden fazla özel şirketi hedefleyen saldırılarda ihlal edilen ağları şifreleme girişimlerini engellediğini açıkladı.
Socgholish, yakın zamanda Microsoft'un Evil Corp ön-yazılım öncesi davranışı olarak tanımladığı şeyde Ahududu Robin kötü amaçlı yazılımıyla enfekte olan arka kapı ağları için de kullanılmıştır.
30 büyük ABD firmasına fidye yazılımı dağıtmaktan engellenen Evil Corp
Düzinelerce ABD haber sitesi, WastedLocker Ransomware saldırılarında hacklendi
Sahte program güncellemeleri aracılığıyla dağıtılan yeni Washlocker fidye yazılımı
'W4SP' Info-Renting kötü amaçlı yazılımları bırakarak düzinelerce PYPI paketi yakalandı
ABD Govt çalışanları, modası geçmiş Android, iOS'tan mobil saldırılara maruz kaldı
Kaynak: Bleeping Computer