说一说：数百个美国新闻网站遭到SocGholish供应链攻击2023/3/3 21:05:19

馥琳 · 发表于 2023-3-3 21:05:20

一伙威胁分子正在利用一家未披露身份的媒体受攻击的基础设施，在全美数百家报纸的上部署SGJS恶意软件框架，又叫FU（虚假更新）。在此之前，外国服务器的行情也在一度飙升，引起了广泛投资者的关注。https://www.l7y.cn/

这起供应链攻击背后的威胁分子（被P编号为TA569）将恶意代码注入到一个害的JS文件中，而该文件被众多新闻媒体的加载。

这个恶意的JS文件用于安装SG，这种恶意软件框架可以使用恶意软件载荷感染访问受攻击的那些用户，这些恶意软件载荷伪装成虚假的浏览器更新，而这些更新通过虚假的更新提醒以ZIP压缩包的方式来分发，比如CUре、CU、FхUре、OU和OU。

P的威胁洞察团队今天在T上透露：P威胁研究团队观察到，一家为许多主要新闻机构提供服务的媒体受到了间歇性注入。这家媒体通过JS向合作伙伴提供内容。

通过修改这个原本害的JS的代码库，它现在被用于部署SG。

图1恶意JS文件对内容做了混淆处理（来源：BC）

据企业安全P的安全研究人员声称，这个恶意软件安装在了总共0多家美国新闻机构的上，其中一些还是大型新闻机构。

虽然目前共有多少家新闻机构影响尚不清楚，但P表示，它获悉来自纽约、波士顿、芝加哥、迈阿密、华盛顿特区等地区的媒体机构（包括性新闻机构）已受到了影响。

图2与勒索软件攻击有关联

P此前观察到SG活动使用虚假的更新和重定向来感染用户，在一些情况下还添加勒索软件载荷。

EC络犯罪团伙在一次非常相似的活动中也使用了SG，通过由数十个受攻击的美国报纸分发虚假的软件更新提醒，感染了多家美国大型私营企业的员工。

受感染的计算机随后被用作借机闯入雇主企业络的跳板，企图部署该团伙的WL勒索软件。

幸运的是，赛门铁克在一份报告中透露，它阻止了EC企图加密受攻击络的活动，这起攻击针对多家私营，包括家美国，其中8家还是《财富》500强。

SG比较近还被用于在感染上了RR恶意软件的络中植入后门，微软称之为EC前勒索软件（-）行为。

本文翻译自：----------如若转载，请注明原文地址

		自动登录	找回密码
密码			立即注册

说一说：数百个美国新闻网站遭到SocGholish供应链攻击2023/3/3 21:05:19

浏览过的版块