サイバーセキュリティ企業 Proofpoint によると、サイバー犯罪グループがメディア コンテンツ プロバイダーを侵害して、米国内の数百の報道機関の Web サイトにマルウェアを展開しました。
Proofpoint が「TA569」として追跡している攻撃者は、少なくとも 2018 年から活動しているカスタム マルウェアである SocGholish を広めるためにメディア組織を侵害しました。
問題のメディア会社の名前は明かされていませんが、通知を受けており、調査中と言われています。 Proofpoint の脅威調査および検出担当バイスプレジデントである Sherrod DeGrippo 氏は、TechCrunch に対し、この組織は「動画コンテンツと主要報道機関への広告の両方」を提供していると語っています。 DeGrippo は、ボストン、シカゴ、シンシナティ、マイアミ、ニューヨーク、パーム ビーチ、ワシントン DC にサービスを提供するメディア組織を含む、250 の米国の全国紙サイトと地域の Web サイトが影響を受けると付け加えました。
名前のないメディア企業がどのように侵害されたのかは不明ですが、DeGrippo 氏は、TA569 には「コンテンツ管理システムとホスティング アカウントを侵害した実績がある」と付け加えました。
サイト乗っ取りのニュースが最初にあった ツイートした 水曜日。
SocGholish マルウェアは、報道機関の Web サイトによって読み込まれる無害な JavaScript ファイルに挿入され、Web サイトの訪問者に偽のソフトウェア アップデートをダウンロードするように促します。 このキャンペーンでは、プロンプトは、Chrome、Firefox、Internet Explorer、Edge、または Opera のブラウザ アップデートの形を取ります。
「被害者がこの「偽のアップデート」をダウンロードして実行すると、SocGholish ペイロードに感染します」と DeGrippo 氏は述べています。 「この攻撃チェーンは、ダウンロードの受け入れとペイロードの実行という 2 つのポイントで、エンド ユーザーからの対話を必要とします。」
Proofpoint によると、SocGholish は「初期アクセスの脅威」として機能し、うまく植え付けられた場合、歴史的にランサムウェアの前身として機能してきました。 同社によると、攻撃者の最終目標は金銭的利益です。
Proofpoint は TechCrunch に、TA569 が米国の認可を受けた Evil Corp グループによって開発されたランサムウェアの亜種である WastedLocker に関連していることを「高い信頼性で評価」していると述べています。 同社は、TA569 が Evil Corp であるとは考えておらず、ハッキング グループのために既に侵害されたデバイスのブローカーとして機能していると付け加えました。
Evil Corp が米国の制裁を回避するために、サービスとしてのランサムウェア モデルを使用していることが今年初めに明らかになりました。 このギャングは、数百の銀行や金融機関から 1 億ドル以上を盗むために使用した Dridex マルウェアの広範な開発により、2019 年 12 月に制裁を受けました。