TA569 veya SocGholish olarak bilinen siber tehdit aktörü, FakeUpdates kötü amaçlı yazılımını ABD’deki büyük medya kuruluşlarına yaymak için bir medya içeriği sağlayıcısı tarafından kullanılan JavaScript kodunu ele geçirdi.
Proofpoint Tehdit Araştırma Ekibi’nin açıklamasına göre saldırganlar, adı açıklanmayan şirketin ulusal ve bölgesel gazete web sitelerine video ve reklam sunmak için kullandığı bir uygulamanın kod tabanını kurcaladı. Tedarik zinciri saldırısı, TA569’un tipik olarak takip eden saldırılar ve fidye yazılımı teslimatı için bir ilk erişim ağı ile kullanılan özel kötü amaçlı yazılımını yaymak için kullanılıyor. Ancak saldırının tespiti zor olabilir. Bu nedenle araştırmacılar uyarıyor: “TA569, bu kötü niyetli JS kodlarını tarihsel olarak kaldırdı ve dönüşümlü olarak eski haline getirdi. Böylece, yükün ve kötü amaçlı içeriğin varlığı saatten
saate değişebilir ve yanlış bir pozitif olarak kabul edilmemelidir.”
Proofpoint’e göre, Boston, Chicago, Cincinnati, Miami, New York, Palm Beach ve Washington, DC gibi şehirlere hizmet veren etkilenen medya kuruluşları ile 250’den fazla bölgesel ve ulusal gazete sitesi kötü amaçlı JavaScript’e erişti. Ancak araştırmacılar, yalnızca etkilenen medya içeriği şirketinin saldırının tüm kapsamını ve bağlı siteler üzerindeki etkisini bildiğini söyledi.