数百家美国新闻网站被SocGholish供应链攻击

一群威胁正在使用一家不明媒体公司的受攻击基础设施，在美国数百家报纸的网站上部署SocGholish JavaScript恶意软件框架，也称为FakeUpdates。

这次供应链攻击(Proofpoint编号为TA569)背后的威胁分子将恶意代码注入到一个无害的JavaScript文件中，该文件被多家新闻媒体的网站加载。

该恶意JavaScript文件用于安装SocGholish。这种恶意软件框架可以感染那些访问带有恶意软件有效载荷的被攻击网站的用户。这些恶意软件有效载荷伪装成虚假的浏览器更新，这些更新通过虚假的更新提醒以ZIP压缩包的形式分发。比如Chrome。udate。拉链，铬合金。Updater.zip，firebo 。u dat zip，Firefo.Udat。zip和opera.updte.zip。

Proofpoint的威胁洞察团队今天在推特上透露：“Proofpoint的威胁研究团队观察到，一家服务于多家主要新闻机构的媒体公司被间歇性注入。这家媒体公司通过JavaScript向合作伙伴提供内容。”

"通过修改这个原本无害的JavaScript的代码库，它现在被用来部署SocGholish . "

图一。恶意JavaScript文件混淆内容(来源：BleepingComputer)

根据企业安全公司Proofpoint的安全研究人员的说法，这种恶意软件已经被安装在250多家美国新闻机构的网站上，其中一些是大型新闻机构。

虽然尚不清楚有多少新闻机构受到影响，但Proofpoint表示，它了解到来自纽约、波士顿、芝加哥、迈阿密和华盛顿特区的媒体机构(包括国家新闻机构)受到了影响。

图二。与勒索软件攻击相关联

Proofpoint此前观察到，SocGholish活动使用虚假更新和网站重定向来感染用户，在某些情况下还会添加勒索软件有效载荷。

Evil Corp网络犯罪团伙也在一次非常类似的活动中使用了SocGholish，并通过几十个被攻击的美国报纸网站分发虚假的软件更新提醒，感染了美国大型私营企业的30多名员工。

被感染的电脑随后被用作跳板，侵入雇主的公司网络，试图部署该团伙的WastedLocker勒索软件。

幸运的是，赛门铁克在一份报告中透露，它阻止了Evil Corp试图加密受攻击的网络。这次攻击的目标是一些私营公司，包括30家美国公司，其中8家仍然是500强公司。

最近，SocGholish还被用于向感染了Raspberry Robin恶意软件的网络中植入后门，微软称之为Evil Corp的预勒索行为