跳转到帖子
  • 游客您好,欢迎来到黑客世界论坛!您可以在这里进行注册。

    赤队小组-代号1949(原CHT攻防小组)在这个瞬息万变的网络时代,我们保持初心,创造最好的社区来共同交流网络技术。您可以在论坛获取黑客攻防技巧与知识,您也可以加入我们的Telegram交流群 共同实时探讨交流。论坛禁止各种广告,请注册用户查看我们的使用与隐私策略,谢谢您的配合。小组成员可以获取论坛隐藏内容!

    TheHackerWorld官方

数百家美国新闻网站被SocGholish供应链攻击


Xiao7

推荐的帖子

一群威胁正在使用一家不明媒体公司的受攻击基础设施,在美国数百家报纸的网站上部署SocGholish JavaScript恶意软件框架,也称为FakeUpdates。

这次供应链攻击(Proofpoint编号为TA569)背后的威胁分子将恶意代码注入到一个无害的JavaScript文件中,该文件被多家新闻媒体的网站加载。

该恶意JavaScript文件用于安装SocGholish。这种恶意软件框架可以感染那些访问带有恶意软件有效载荷的被攻击网站的用户。这些恶意软件有效载荷伪装成虚假的浏览器更新,这些更新通过虚假的更新提醒以ZIP压缩包的形式分发。比如Chrome。udate。拉链,铬合金。Updater.zip,firebo 。u dat zip,Firefo.Udat。zip和opera.updte.zip。

Proofpoint的威胁洞察团队今天在推特上透露:“Proofpoint的威胁研究团队观察到,一家服务于多家主要新闻机构的媒体公司被间歇性注入。这家媒体公司通过JavaScript向合作伙伴提供内容。”

"通过修改这个原本无害的JavaScript的代码库,它现在被用来部署SocGholish . "

1667425690477679.png

图一。恶意JavaScript文件混淆内容(来源:BleepingComputer)

根据企业安全公司Proofpoint的安全研究人员的说法,这种恶意软件已经被安装在250多家美国新闻机构的网站上,其中一些是大型新闻机构。

虽然尚不清楚有多少新闻机构受到影响,但Proofpoint表示,它了解到来自纽约、波士顿、芝加哥、迈阿密和华盛顿特区的媒体机构(包括国家新闻机构)受到了影响。

1667425680134579.png

图二。与勒索软件攻击相关联

Proofpoint此前观察到,SocGholish活动使用虚假更新和网站重定向来感染用户,在某些情况下还会添加勒索软件有效载荷。

Evil Corp网络犯罪团伙也在一次非常类似的活动中使用了SocGholish,并通过几十个被攻击的美国报纸网站分发虚假的软件更新提醒,感染了美国大型私营企业的30多名员工。

被感染的电脑随后被用作跳板,侵入雇主的公司网络,试图部署该团伙的WastedLocker勒索软件。

幸运的是,赛门铁克在一份报告中透露,它阻止了Evil Corp试图加密受攻击的网络。这次攻击的目标是一些私营公司,包括30家美国公司,其中8家仍然是500强公司。

最近,SocGholish还被用于向感染了Raspberry Robin恶意软件的网络中植入后门,微软称之为Evil Corp的预勒索行为

链接帖子
意见的链接
分享到其他网站

黑客攻防讨论组

黑客攻防讨论组

    You don't have permission to chat.
    • 最近浏览   0位会员

      • 没有会员查看此页面。
    ×
    ×
    • 创建新的...