SocGholish:一种新型的恶意软件攻击
主要重点
- SocGholish的特点 :这种恶意软件与传统钓鱼攻击有明显不同,使用更高级手法。
- 目标和攻击方式 :主要针对有强大行销活动及优化搜索引擎的机构,而不是直接攻击媒体行业。
- 防范建议 :组织应开启相关夹具的日志记录,以监控可能的后续恶意活动。
最近,Proofpoint的研究人员披露了更多有关SocGholish的技术细节,这是他们本月早些时候识别的一种恶意软件变体。这种变体的策略显著不同于传统的钓鱼攻击,不再依赖迫切感、奖励承诺或误导。
根据Proofpoint周二的一篇,SocGholish在电子邮件活动中运用网站注入技术,主要目标是拥有丰富行销活动或强大搜索引擎优化的组织。
“SocGholish的技术确实很高级。一般来说,我不太喜欢用‘高级’来描述威胁,但这个攻击者的开发生命周期和各种技术,确实要超出其他攻击者的水平。”Proofpoint的高级威胁研究员Andrew
Northern在周二的虚拟活动中表示。
GuidePoint Security的管理安全顾问DrewSchmitt在电子邮件中扩展了这一观点,指出SocGholish之前并未使用这种攻击方式,他们的电子邮件攻击与下载式感染的结合,避免了大多数用户能够辨识的特征。
Proofpoint首次在11月2日中提到SocGholish攻击,指出该恶意软件已经感染了超过250个美国新闻网站。该公司观察到一个媒体公司在其网站通过JavaScript向合作伙伴提供内容时,出现间歇性注入。这个被追踪为TA569的威胁行为者,修改了无害的JavaScript代码,并利用该媒体公司来部署SocGholish,这可能导致严重的供应链攻击。
Proofpoint的研究人员告诉SC Media,这个威胁行为者并不直接针对媒体行业,而是利用这些公司作为交付机制,真正的受害者是访问这些网站的消费者。
“这些行为者是机会主义者,会在任何能够的地方注入脚本:登陆页面、第三方样式资源、追踪器和脚本,”Proofpoint的威胁研究副总裁Sherrod
DeGrippo表示。“他们依赖受到妥协的实体作为合法组织,并利用自然的电子邮件流量来推动访问这些网站。在在线新闻网站的案例中,文章通常都是为了搜索引擎进行优化,因此随意搜索也会引导潜在受害者访问这些受损网站。”
Deep Instinct的网络情报工程经理MatthewFulmer补充道,SocGholish特别之处在于,不仅是为了获取凭证,还涉及持久性和横向移动,从而投放其他恶意载荷,可能包括勒索软件或其他威胁。
在周二的虚拟会议中,还强调了该组织如何应用注入闪烁这一技术,通过反复添加、移除和重新添加注入来规避检测和阻止分析。
