近日,據安全公司Proofpoint透露,一家媒體公司的基礎設施受損,導致數百家新聞機構的網站被部署了惡意軟體。
據悉,Proofpoint Threat Research的研究人員觀察到有駭客間歇性地向一家為眾多新聞媒體機構提供服務的媒體公司(該媒體公司透過Javascript向其合作伙伴提供影片內容和廣告)注入惡意程式碼。攻擊者透過篡改JS,在美國數百家新聞媒體的網站上部署了FakeUpdates(又名SocGholish)惡意軟體。
受感染網站上的惡意軟體偽裝成了虛假的瀏覽器更新(如Chromе.Uрdatе.zip、Firefoх.Uрdatе.zip、Operа.Updаte.zip等),透過彈窗虛假更新通知誘騙使用者下載。
“該駭客(TA569)間歇性地刪除並恢復這些惡意JS注入。因此,有效負載和惡意內容的存在可能每小時都不同,不應被視為誤報。” Proofpoint公司在推文上寫道。
這家安全公司透露,本次事件感染的源頭媒體公司在為紐約、波士頓、芝加哥、邁阿密、華盛頓特區等地的新聞媒體提供服務。共有超過250家美國新聞媒體受到這次供應鏈攻擊的影響,其中包括一些重要新聞機構的網站。
Proofpoint此前也曾觀察到SocGholish活動使用虛假更新和網站重定向來感染使用者。值得注意的是,Evil Corp網路犯罪團伙也利用SocGholish進行過一次非常相似的活動,其透過數十個受感染的美國新聞網站傳送虛假軟體更新通知,感染了30多家美國私營公司的員工。
受感染的計算機後來被用作僱主企業網路的跳板,進而試圖部署該團伙的WastedLocker勒索軟體。但該惡意行動最終被賽門鐵克所阻止,賽門鐵克在一份報告中透露,該事件涉及30家美國公司,其中八家是財富500強公司。
編輯:左右裡
資訊來源:bleepingcomputer、Proofpoint
轉載請註明出處和本文連結
每日漲知識
災難恢復預案(disaster recovery plan)
定義資訊系統災難恢復過程中所需的任務、行動、資料和資源的檔案。用於指導相關人員在預定的災難恢復目標內恢復資訊系統支援的關鍵業務功能。
﹀
﹀
﹀