数百家媒体机构被部署恶意软件，美国新闻行业遭受供应链攻击

近日，据安全公司Proofpoint透露，一家媒体公司的基础设施受损，导致数百家新闻机构的网站被部署了恶意软件。

据悉，Proofpoint Threat Research的研究人员观察到有黑客间歇性地向一家为众多新闻媒体机构提供服务的媒体公司（该媒体公司通过Javascript向其合作伙伴提供视频内容和广告）注入恶意代码。攻击者通过篡改JS，在美国数百家新闻媒体的网站上部署了FakeUpdates（又名SocGholish）恶意软件。

受感染网站上的恶意软件伪装成了虚假的浏览器更新（如Chromе.Uрdatе.zip、Firefoх.Uрdatе.zip、Operа.Updаte.zip等），通过弹窗虚假更新通知诱骗用户下载。

“该黑客（TA569）间歇性地删除并恢复这些恶意JS注入。因此，有效负载和恶意内容的存在可能每小时都不同，不应被视为误报。” Proofpoint公司在推文上写道。

这家安全公司透露，本次事件感染的源头媒体公司在为纽约、波士顿、芝加哥、迈阿密、华盛顿特区等地的新闻媒体提供服务。共有超过250家美国新闻媒体受到这次供应链攻击的影响，其中包括一些重要新闻机构的网站。

Proofpoint此前也曾观察到SocGholish活动使用虚假更新和网站重定向来感染用户。值得注意的是，Evil Corp网络犯罪团伙也利用SocGholish进行过一次非常相似的活动，其通过数十个受感染的美国新闻网站发送虚假软件更新通知，感染了30多家美国私营公司的员工。

受感染的计算机后来被用作雇主企业网络的跳板，进而试图部署该团伙的WastedLocker勒索软件。但该恶意行动最终被赛门铁克所阻止，赛门铁克在一份报告中透露，该事件涉及30家美国公司，其中八家是财富500强公司。

编辑：左右里

资讯来源：bleepingcomputer、Proofpoint

转载请注明出处和本文链接

每日涨知识

灾难恢复预案（disaster recovery plan）

定义信息系统灾难恢复过程中所需的任务、行动、数据和资源的文件。用于指导相关人员在预定的灾难恢复目标内恢复信息系统支持的关键业务功能。

﹀