Det kræver blot et enkelt klik på en tilsyneladende legitim browser-opdatering, før virksomhedens it-systemer er kompromitteret. Sådan lyder advarslen i en ny sikkerhedsanalyse fra it-sikkerhedsvirksomheden Arctic Wolf. Analysen blotlægger en ny tendens, hvor russisk-tilknyttede hackergrupper misbruger helt almindelige, men kompromitterede hjemmesider til at sprede avanceret malware.
Angrebsmetoden benytter sig af den såkaldte SocGholish-malware. Teknikken går ud på at narre brugere, der forsøger at opretholde god it-hygiejne ved at holde deres software opdateret. Når brugeren besøger en kompromitteret hjemmeside, præsenteres de for en pop-up om, at deres browser skal opdateres.
Klikker medarbejderen på opdateringen, aktiveres SocGholish-malwaren, hvilket giver angriberne adgang til systemet. Ifølge analysen forsøger bagmændene herefter at installere den russisk-støttede RomCom-gruppes avancerede ’Mythic Agent’-loader. Det er første gang, denne specifikke loader er observeret i forbindelse med SocGholish-angreb.
Norden er i skudlinjen
Selvom metoden umiddelbart ligner et bredt masseangreb, dækker den over en målrettet strategi. RomCom-gruppens malware aktiveres kun, hvis den genkender et specifikt mål. Det betyder, at angriberne kan skjule præcisionsangreb i store, globale kampagner.
Analysen peger på, at europæiske og nordamerikanske virksomheder er de primære mål. Særligt udsat er organisationer, der direkte eller indirekte kan linkes til støtte af Ukraine. Rapporten fremhæver en hændelse hos et amerikansk ingeniørfirma, der havde samarbejdet med en by med tætte forbindelser til Ukraine.
Dette gør truslen aktuel for nordiske virksomheder og offentlige instanser, hvor mange siden 2022 har leveret rådgivning og bistand til Ukraine.
Angreb eskalerer på under 30 minutter
En af de mest kritiske faktorer ved denne angrebsform er hastigheden. Rapporten dokumenterer, at der kan gå under 30 minutter fra brugeren klikker på den falske opdatering, til hackerne har etableret fuld fjernadgang og installeret yderligere skadelig kode.
Operatøren bag SocGholish, kendt som TA569, fungerer ofte som en digital mellemmand, der videresælger adgangen til kompromitterede systemer til andre kriminelle grupper, herunder ransomware-aktører.
Tekniske foranstaltninger er nødvendige
Kombinationen af statslige aktører og økonomisk motiverede kriminelle stiller ifølge analysen nye krav til virksomhedernes forsvar. Arctic Wolf anbefaler en række konkrete tiltag for at dæmme op for truslen:
Tekniske tiltag:
- Sørg for, at softwareopdateringer udelukkende installeres via centrale eller officielle kanaler, og aldrig gennem browservinduer.
- Implementér overvågning af mistænkelig aktivitet på klienter, såsom usædvanlige netværksforbindelser og automatiseret script-kørsel.
- Benyt avancerede endpoint-løsninger til at opdage forsøg på installation af skjult malware.
Bruger- og proceskontroller:
- Begræns rettighederne, så medarbejdere ikke kan installere software fra ikke-godkendte kilder.
- Etablér faste procedurer for håndtering af opdateringsbeskeder.
- Iværksæt løbende awareness-træning, så medarbejdere bliver bedre til at spotte falske opdateringer.
