数百个新闻网站在供应链攻击中推送恶意软件

©网络研究院

威胁参与者正在使用一家未公开媒体公司的受损基础设施在美国数百家报纸的网站上部署 SocGholish JavaScript 恶意软件框架（也称之为 FakeUpdates）。

“有问题的媒体公司是一家向主要新闻媒体提供视频内容和广告的公司。[它] 为美国不同市场的许多不同公司提供服务，”Proofpoint 威胁研究和检测副总裁告诉我们。

这次供应链攻击背后的威胁者（Proofpoint 追踪为 TA569）已将恶意代码注入到新闻媒体网站加载的良性 JavaScript 文件中。

该恶意 JavaScript 文件用于安装 SocGholish，这将使用伪装成以 ZIP 存档形式提供的虚假浏览器更新的恶意软件有效负载（例如，Chromе.Uрdatе.zip、Chrome.Updater.zip、Firefoх.Uрdatе。zip、Operа.Updаte.zip、Oper.Updte.zip）通过虚假更新警报。

“Proofpoint Threat Research 观察到一家为许多主要新闻媒体提供服务的媒体公司出现间歇性注入。这家媒体公司通过 Javascript 向其合作伙伴提供内容，”Proofpoint 的 Threat Insight 团队今天在 Twitter 线程中透露。

“通过修改这个原本良性的 JS 的代码库，它现在被用于部署 SocGholish。”

恶意 JavaScript 文件混淆内容

据企业安全公司 Proofpoint 的安全研究人员称，该恶意软件总共安装在 250 多家美国新闻媒体的网站上，其中一些是主要新闻机构。

虽然目前尚不清楚受影响的新闻机构的总数，但 Proofpoint 表示，它知道来自纽约、波士顿、芝加哥、迈阿密、华盛顿特区等地的受影响媒体机构（包括国家新闻机构）。

DeGrippo 还告诉我们：“TA569 之前曾利用媒体资产传播 SocGholish，这种恶意软件可能导致后续感染，包括潜在的勒索软件。”

“需要密切监视这种情况，因为 Proofpoint 观察到 TA569 在修复后几天就重新感染了相同的资产。”

链接到勒索软件攻击

Proofpoint之前曾观察到SocGholish 活动使用虚假更新和网站重定向来感染用户，在某些情况下包括勒索软件有效载荷。

Evil Corp 网络犯罪团伙还在一项非常类似的活动中使用 SocGholish，通过数十个受感染的美国报纸网站发送的虚假软件更新警报来感染 30 多家美国主要私营公司的员工。

受感染的计算机后来被用作进入雇主企业网络的切入点，试图部署该团伙的 WastedLocker 勒索软件。

幸运的是，赛门铁克在一份报告中透露，它阻止了 Evil Corp在针对多家私营公司的攻击中对被破坏的网络进行加密的尝试，其中包括 30 家美国公司，其中 8 家是财富 500 强公司。

SocGholish 最近还被用于感染 Raspberry Robin 恶意软件的后门网络，微软将其描述为Evil Corp 的预勒索软件行为。

原文始发于微信公众号（网络研究院）：数百个新闻网站在供应链攻击中推送恶意软件