یک گروه جنایتکار صدها وب سایت خبری ایالات متحده را ربود تا بدافزار را به کار گیرد • TechCrunch

تاریخ انتشار : پنج‌شنبه 12 آبان 1401

وبلاگ

یک گروه جنایتکار صدها وب سایت خبری ایالات متحده را ربود تا بدافزار را به کار گیرد • TechCrunch

به گفته شرکت امنیت سایبری Proofpoint، یک گروه مجرم سایبری یک ارائه‌دهنده محتوای رسانه‌ای را به خطر انداخته است تا بدافزار را در وب‌سایت‌های صدها رسانه خبری ایالات متحده نصب کند.

عاملان تهدید که توسط Proofpoint با نام “TA569” ردیابی می شوند، سازمان رسانه ای را برای توزیع SocGholish، یک بدافزار سفارشی فعال حداقل از سال 2018 به خطر انداختند.

شرکت رسانه ای مورد نظر نامی برده نشده است اما به آن اطلاع داده شده و گفته می شود در حال بررسی است. Sherrod DeGrippo، معاون تحقیقات و تشخیص تهدید در Proofpoint، به TechCrunch می‌گوید که این سازمان «هم محتوای ویدیویی و هم تبلیغات را برای رسانه‌های خبری بزرگ ارائه می‌کند». دگریپو افزود که 250 سایت روزنامه ملی ایالات متحده و وب سایت منطقه ای از جمله سازمان های رسانه ای که به بوستون، شیکاگو، سینسیناتی، میامی، نیویورک، پالم بیچ و واشنگتن دی سی خدمات رسانی می کنند، تحت تاثیر قرار گرفته اند.

مشخص نیست که چگونه این شرکت رسانه ای ناشناس به خطر افتاده است، اما DeGrippo اضافه کرد که TA569 “سابقه اثبات شده ای در به خطر انداختن سیستم های مدیریت محتوا و حساب های میزبانی دارد.”

ابتدا خبر ربوده شدن سایت منتشر شد او جیغ زد چهار شنبه.

Proofpoint مشاهده کرد که TA569 به دارایی های یک شرکت رسانه ای مورد استفاده توسط چندین سازمان خبری بزرگ تزریق شد. بیش از 250 سایت روزنامه منطقه ای/ملی به جاوا اسکریپت مخرب دسترسی دارند. تعداد واقعی میزبان‌های آسیب‌دیده فقط توسط شرکت رسانه‌ای آسیب‌دیده مشخص است.
– بینش تهدید (@threatinsight) 2 نوامبر 2022

بدافزار SocGholish خود را به یک فایل جاوا اسکریپت که توسط وب‌سایت‌های رسانه‌های خبری بارگیری می‌شود، تزریق می‌کند و بازدیدکننده وب‌سایت را وادار می‌کند تا یک به‌روزرسانی نرم‌افزار جعلی را دانلود کند. در این کمپین، درخواست به شکل یک به‌روزرسانی مرورگر برای Chrome، Firefox، Internet Explorer، Edge یا Opera است.

دیگریپو گفت: «اگر قربانی این «به‌روزرسانی جعلی» را دانلود و اجرا کند، به محموله SocGholish آلوده می‌شود. “این زنجیره حمله نیاز به تعامل کاربر نهایی در دو نقطه دارد: دریافت بارگیری و اجرای بار.”

به گفته Proofpoint، SocGholish به عنوان یک “تهدید دسترسی اولیه” عمل می کند که اگر با موفقیت کاشته شود، در طول تاریخ به عنوان یک پیشرو برای باج افزار عمل کرده است. به گفته این شرکت، هدف نهایی تهدیدات، سود مالی است.

Proofpoint به TechCrunch می‌گوید که «با درجه بالایی از اطمینان ارزیابی می‌کند» که TA569 مربوط به WastedLocker، یک نوع باج‌افزار است که توسط گروه تحت تحریم ایالات متحده Evil Corp توسعه یافته است. این شرکت اضافه کرد که معتقد نیست TA569 شرکت ایول است، بلکه به عنوان یک دلال دستگاه های از قبل در معرض خطر برای گروه هکرها عمل می کند.

در اوایل سال جاری، فاش شد که Evil Corp از یک مدل باج افزار به عنوان یک سرویس برای جلوگیری از تحریم های ایالات متحده استفاده می کند. این باند در دسامبر 2019 به دلیل توسعه گسترده بدافزار Dridex مورد تحریم قرار گرفت، که باند بیش از 100 میلیون دلار از صدها بانک و موسسه مالی به سرقت برد.