威脅者正在利用一家未披露的媒體公司的受損基礎(chǔ)設(shè)施，在全美數(shù)百家報(bào)紙的網(wǎng)站上部署SocGholish JavaScript惡意軟件框架（也稱為FakeUpdates）。

"涉案的媒體公司是一家為主要新聞機(jī)構(gòu)提供視頻內(nèi)容和廣告的公司。Proofpoint專家表示："該公司為全美不同市場(chǎng)的許多公司服務(wù)“。

這個(gè)供應(yīng)鏈攻擊背后的威脅者（被Proofpoint追蹤為T(mén)A569）已經(jīng)將惡意代碼注入了一個(gè)良性的JavaScript文件，該文件被新聞機(jī)構(gòu)的網(wǎng)站加載。

這個(gè)惡意的JavaScript文件被用來(lái)安裝SocGholish，它將通過(guò)虛假的更新提醒，把惡意軟件的有效載荷偽裝成假的瀏覽器更新文件（如Chromе.Uрdatе.zip、Chrome.Updater.zip、Firefoх.Uрdatе.zip、Operа.Updаte.zip、Oper.Updte.zip）感染那些訪問(wèn)被攻擊網(wǎng)站的用戶。

"Proofpoint威脅研究公司在一家為許多主要新聞機(jī)構(gòu)提供服務(wù)的媒體公司上觀察到間歇性的注入。該媒體公司通過(guò)Javascript向其合作伙伴提供內(nèi)容，通過(guò)修改原本良性的JS的代碼庫(kù)，來(lái)部署SocGholish。

據(jù)企業(yè)安全公司Proofpoint的安全研究人員稱，該惡意軟件總共被安裝在250多家美國(guó)新聞機(jī)構(gòu)的網(wǎng)站上，其中還有一些是主要新聞機(jī)構(gòu)。

雖然受影響的新聞機(jī)構(gòu)總數(shù)目前尚不清楚，但根據(jù)Proofpoint表示：來(lái)自紐約、波士頓、芝加哥、邁阿密、華盛頓特區(qū)等地的多家媒體機(jī)構(gòu)（包括國(guó)家新聞機(jī)構(gòu)）遭受影響。

我們以TA569追蹤這個(gè)行為者。發(fā)現(xiàn)TA569在輪流刪除和恢復(fù)了這些惡意的JS注入。因此，有效載荷和惡意內(nèi)容的存在可能從一個(gè)小時(shí)到另一個(gè)小時(shí)有所不同，不應(yīng)視為解除風(fēng)險(xiǎn)。

"這種情況需要密切關(guān)注，因?yàn)镻roofpoint已經(jīng)觀察到TA569在修復(fù)后幾天又重新感染了相同的資產(chǎn)。"Proofpoint之前觀察到SocGholish活動(dòng)使用虛假更新和網(wǎng)站重定向來(lái)感染用戶，包括在某些情況下，贖金軟件的有效載荷。

網(wǎng)絡(luò)犯罪團(tuán)伙還在一次非常類(lèi)似的活動(dòng)中使用SocGholish，通過(guò)幾十個(gè)被攻擊的美國(guó)報(bào)紙網(wǎng)站傳遞虛假的軟件更新提醒，感染了30多家美國(guó)大型私營(yíng)企業(yè)的員工。

被感染的電腦后來(lái)被用作進(jìn)入雇主的企業(yè)網(wǎng)絡(luò)的跳板，試圖部署該團(tuán)伙的WastedLocker勒索軟件。

幸運(yùn)的是，賽門(mén)泰克在一份報(bào)告中透露，在針對(duì)多家私營(yíng)公司的攻擊中，他們阻止了威脅著加密被入侵網(wǎng)絡(luò)的企圖，其中包括30家美國(guó)企業(yè)，其中8家是財(cái)富500強(qiáng)企業(yè)。

SocGholish最近也被用來(lái)對(duì)感染了樹(shù)莓羅賓惡意軟件的網(wǎng)絡(luò)進(jìn)行后門(mén)攻擊，微軟將其描述為網(wǎng)絡(luò)犯罪團(tuán)伙的前贖金行為。

參考文章：https://www.bleepingcomputer.com/news/security/hundreds-of-us-news-sites-push-malware-in-supply-chain-attack/