美媒体公司遭供应链攻击，在数百新闻站点上部署恶意软件

Proofpoint 公司的威胁研究和检测副总裁 Sherrod DeGrippo 指出，“这家媒体公司为主要新闻机构提供视频内容和广告，服务美国很多不同市场中的很多企业。”

这起供应链攻击（被Proofpoint 称为 TA569）已将恶意代码注入这些新闻网站中的非恶意JavaScript文件中。该恶意JavaScript文件用于安装 SocGholish，感染访问这些受陷网站的访客，而该恶意软件payload 被伪装为虚假的浏览器更新且以ZIP文档格式（如Chrome.Update.zip、Chrome.Updater.zip、Firefox.Update.zip、Opera.Update.zip和Oper.Updte.zip）通过虚假的更新报警进行传播。

Proofpoint公司指出，“Proofpoint威胁研究在为很多重大新闻媒体服务的媒体公司上观察到断断续续的注入情况。该媒体公司通过JavaScript向其合作伙伴提供内容。这个非恶意的JS代码库遭修改，用于部署SocGholish。”

该恶意软件已被部署到250多家美国新闻机构的新闻站点上，其中不乏大型新闻组织机构。虽然目前受影响的新闻组织机构总数尚不清楚，但研究人员表示首映性的媒体组织机构（包括国家新闻机构）源自纽约、波斯顿、芝加哥、迈阿密、华盛顿特区等地。

DeGrippo 表示，“TA569之前利用新闻资产传播 SocGholish，该恶意软件可导致后续感染，包括潜在的勒索软件。这种情况需要密切监控，因为Proofpoint观察到TA569组织就在修复之后的几天内再次感染了相同的资产。”

Proofpoint 公司此前观察到 SocGholish 活动利用虚假更新和网站重定向来感染用户，在一些情况下通过勒索软件payload进行感染。

Evil Corp 网络犯罪团伙还在类似攻击活动中利用 SocGholish 感染30多家大型美国私有公司，它通过十几家受陷美国新闻网站传播虚假的软件更新告警。受感染企业随后被用作入侵员工企业网络并部署WastedLocker额勒索软件的垫脚石。

好在，赛门铁克公司在一份报告中提到，该公司拦截Evil Corp加密受陷网络的尝试，这些攻击旨在攻击多家私营企业，包括30家美国企业，其中8家是财富500强公司。

最近，微软提到，在预勒索攻击中，SocGholish被用于在受 Raspberry Robin 恶意软件感染的网络中安装后门。