首页 培训新闻 加入我们 联系我们 行业新闻 网盾学院
内鬼作祟!美国新闻业遭受大规模供应链攻击,数百家报纸网站被“挂马”
作者:网安基地   2022-11-04 16:31:00

内鬼作祟!美国新闻业遭受大规模供应链攻击,数百家报纸网站被“挂马”

据新闻11月3日报道:有恶意黑客侵入并操纵某家未公开名字的媒体公司基础设施,在美国数百家报纸的网站上部署了SocGholish JavaScript恶意软件框架(又名FakeUpdates)。

美国安全厂商Proofpoint威胁研究与检测副总裁Sherrod DeGrippo向媒体证实,“被黑的是一家主要向新闻机构提供视频和广告内容的媒体公司,一直服务于美国多个市场上的不同企业。”

Proofpion将供应链攻击背后的恶意团伙命名为TA569,他们将恶意软件注入正常的JavaScript文件中,由各种新闻媒体网站加载。

该恶意JavaScript文件随后会安装SocGholish,后者会在网站上显示虚假更新警告,再利用伪装成浏览器更新但实为恶意软件有效载荷的文件(例如Chromе.Uрdatе.zip、Chrome.Updater.zip、Firefoх.Uрdatе.zip等)感染网站访问者。

Proofpoint公司威胁洞察团队在推文中透露,“我们观察到,一家为众多主要新闻机构提供服务的媒体公司发生了间歇性恶意注入。该媒体一直通过JavaScript为各合作伙伴提供内容。”

原来的正常JavaScript代码文件被篡改,恶意黑客借此部署了SocGholish。  

图:恶意JavaScript文件混淆内容

  据Proofpoint安全研究人员介绍,该恶意软件已被安装在250多家美国新闻媒体网站之上,其中包括不少重量级新闻机构。

虽然尚不清楚受影响新闻机构的确切数量,但Proofpoint表示包括国家新闻机构在内,已经有纽约、波士顿、芝加哥、迈阿密、华盛顿特区等地的多家媒体因此受害。

DeGrippo还提到,“TA569此前就曾利用媒体公司资产传播过SocGholish。这种恶意软件可能引发后续感染,包括潜在的勒索软件攻击。”

  那么,什么是勒索软件?

勒索软件是防止用户访问其文件、操作系统或应用程序的恶意软件。该恶意软件会加密受害者的文件和数据,使其无法访问且无法使用。然后,攻击者将要求赎金,以使用户重新获得对其文件的访问权限。赎金通常有时间限制;如果无法达到期限,用户通常会永远失去访问文件的权限。

其中,该软件不仅可以阻止用户访问其文件和数据,还可以通过网络钓鱼攻击或不安全的网站和硬件来感染设备。

企业该如何防范勒索软件的攻击?

1.培训演练:

企业用户可以对旗下人员进行针对性防勒索软件培训(例如:不要打开来自未知发件人的电子邮件或其附件;不要点击来自未知网站的横幅和链接;使用安全VPN并避免使用未知公共Wi-Fi;为不同帐户创建强密码,并定期更改;不要共享敏感信息或以易于访问的方式保存它;及时报告可疑活动。)

2、系统更新和安全补丁

随着勒索软件的不断开发,我们也需要及时进行操作系统更新和应用程序安全补丁,从而减少勒索软件可以利用的安全漏洞,建议大家设置补丁管理软件并启用自动更新。

3、零信任限制

零信任安全限制假定所有尝试连接设备的申请都为潜在威胁,并在身份验证前不予信任。试用这种方法,任何尝试访问的人或设备都必须进行身份验证,例如需要多重因素身份验证(MFA)和网络访问控制(NAC)来阻止外部用户和设备。

4、端点保护

正确配置路由器可帮助大家防御恶意扫描漏洞,并阻止对非活动端口的访问以及将普通端口号切换为唯一端口号。此外,端点保护平台(EPP)或端点检测和响应(EDR)安装也有助于响应和阻止当前已进入网络的攻击。

5、采用安全软件

随着勒索病毒变种的不断升级,企业用户也需采取安全防御措施,例如防火墙保护、邮件保护、防病毒软件、实时监控等,采取预警机制,预防勒索软件攻击加密或窃取数据。

6、网络分割

通过将网络划分为具有独立防火墙、安全控制和独立访问权限的几个较小的网络,网络分段允许企业隔离和删除勒索软件,并阻止其传播到其他系统。网络分割的方式对提供云服务的企业用户尤其有价值。

7、网站和应用白名单

白名单决定了哪些程序可以在网络上下载和运行,从而限制未经证实的网站的任何访问,以防用户无意中下载恶意软件或访问受感染的网站。

8、数据安全备份

在勒索软件突破防火墙的紧急情况下,数据备份则是企业数据能否找回的关键,因此建议广大用户采取数据备份以应对勒索软件攻击,遵循备份的“3-2-1原则”,即保证3份备份副本、2种存储介质、1份异地副本。

9、信息关注与分享

为了减少来自未知来源的威胁,企业需要打通内部信息共享,关注勒索软件相关资讯,以防由于信息误差而让勒索软件趁虚而入,伪装成个别企业用户窃取更多信息。

10、制定应对计划

完整的业务连续性和灾难恢复计划可帮助公司减少系统停机时间,快速恢复丢失的数据。首先,分析安全漏洞并定义数据的重要性级别;其次,明确人员职责,了解数据恢复流程;最后,离不开的当然是定期数据备份。