美媒体公司遭供应链攻击，在数百新闻站点上部署恶意软件

Sergiu Gatlan 代码卫士 2022-12-13

收录于合集 #供应链安全 211个

聚焦源代码安全，网罗国内外最新资讯！

专栏·供应链安全

数字化时代，软件无处不在。软件如同社会中的“虚拟人”，已经成为支撑社会正常运转的最基本元素之一，软件的安全性问题也正在成为当今社会的根本性、基础性问题。

随着软件产业的快速发展，软件供应链也越发复杂多元，复杂的软件供应链会引入一系列的安全问题，导致信息系统的整体安全防护难度越来越大。近年来，针对软件供应链的安全攻击事件一直呈快速增长态势，造成的危害也越来越严重。

为此，我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯，分析供应链安全风险，提供缓解建议，为供应链安全保驾护航。

注：以往发布的部分供应链安全相关内容，请见文末“推荐阅读”部分。

摘要

攻击者正在利用某媒体公司的受陷基础设施在美国数百家新闻站点上部署 SocGholish JavaScript 恶意软件框架（也被称为 FakeUpdates）。

Proofpoint 公司的威胁研究和检测副总裁 Sherrod DeGrippo 指出，“这家媒体公司为主要新闻机构提供视频内容和广告，服务美国很多不同市场中的很多企业。”

这起供应链攻击（被Proofpoint 称为 TA569）已将恶意代码注入这些新闻网站中的非恶意JavaScript文件中。该恶意JavaScript文件用于安装 SocGholish，感染访问这些受陷网站的访客，而该恶意软件payload 被伪装为虚假的浏览器更新且以ZIP文档格式（如Chrome.Update.zip、Chrome.Updater.zip、Firefox.Update.zip、Opera.Update.zip和Oper.Updte.zip）通过虚假的更新报警进行传播。

Proofpoint公司指出，“Proofpoint威胁研究在为很多重大新闻媒体服务的媒体公司上观察到断断续续的注入情况。该媒体公司通过JavaScript向其合作伙伴提供内容。这个非恶意的JS代码库遭修改，用于部署SocGholish。”

该恶意软件已被部署到250多家美国新闻机构的新闻站点上，其中不乏大型新闻组织机构。虽然目前受影响的新闻组织机构总数尚不清楚，但研究人员表示首映性的媒体组织机构（包括国家新闻机构）源自纽约、波斯顿、芝加哥、迈阿密、华盛顿特区等地。

DeGrippo 表示，“TA569之前利用新闻资产传播 SocGholish，该恶意软件可导致后续感染，包括潜在的勒索软件。这种情况需要密切监控，因为Proofpoint观察到TA569组织就在修复之后的几天内再次感染了相同的资产。”

与勒索攻击的关联

Proofpoint 公司此前观察到 SocGholish 活动利用虚假更新和网站重定向来感染用户，在一些情况下通过勒索软件payload进行感染。

Evil Corp 网络犯罪团伙还在类似攻击活动中利用 SocGholish 感染30多家大型美国私有公司，它通过十几家受陷美国新闻网站传播虚假的软件更新告警。受感染企业随后被用作入侵员工企业网络并部署WastedLocker额勒索软件的垫脚石。

好在，赛门铁克公司在一份报告中提到，该公司拦截Evil Corp加密受陷网络的尝试，这些攻击旨在攻击多家私营企业，包括30家美国企业，其中8家是财富500强公司。

最近，微软提到，在预勒索攻击中，SocGholish被用于在受 Raspberry Robin 恶意软件感染的网络中安装后门。

代码卫士试用地址：https://codesafe.qianxin.com

开源卫士试用地址：https://oss.qianxin.com

推荐阅读

在线阅读版：《2022中国软件供应链安全分析报告》全文