Kyberturvayhtiö Arctic Wolf varoittaa uudesta ja nopeasti kehittyvästä hyökkäyskampanjasta, jossa venäläisvetoiset hakkeriryhmät pyrkivät murtautumaan eurooppalaisiin ja yhdysvaltalaisiin organisaatioihin väärennettyjen selainpäivitysten avulla. Kohteina ovat erityisesti yritykset ja toimijat, joilla on yhteistyö- tai tukisuhteita Ukrainaan.
Hyökkäysten tekninen ydin on SocGholish-menetelmä, jossa vaarantuneille mutta sinänsä laillisille verkkosivustoille lisätään haitallista JavaScript-koodia. Kun uhri vierailee sivulla, tämä näkee aidolta näyttävän selaimen päivitysikkunan. Klikkaus ei kuitenkaan päivitä selainta, vaan asentaa SocGholish-haitakkeen ja avaa hyökkääjille suoran yhteyden uhrin koneeseen.
Arctic Wolfin analyysin mukaan venäläinen RomCom-ryhmä – GRU:n yksikkö 29155:een kytkeytyvä toimija – hyödyntää nyt SocGholishia levittääkseen kehittynyttä Mythic Agent -loaderia. Tapaus on ensimmäinen, jossa RomComin haittaohjelmaa on jaettu SocGholishin kautta.
Hyökkäysketju on poikkeuksellisen nopea. Arctic Wolfin havaintotapauksessa rikolliset pääsivät käynnistämään jatkotoimet alle kymmenessä minuutissa uhrin klikattua tekaistua päivitystä. Noin puolessa tunnissa koneelle yritettiin asentaa täysin toimiva etäkäyttöagentti sekä Python-pohjainen VIPERTUNNEL-takaportti.
RomCom toimii erittäin kohdennetusti: Mythic Agent aktivoituu vain, jos uhrin kone kuuluu ennalta määriteltyyn Active Directory -domainiin. Näin laajalta näyttävä kampanja voidaan naamioida, vaikka todellisuudessa hyökkäys kohdistetaan tarkasti valittuihin organisaatioihin.
Arctic Wolfin mukaan kohteeksi joutunut yhdysvaltalainen insinööritoimisto oli tehnyt aiemmin töitä kaupungille, jolla on tiiviit yhteydet Ukrainaan. Samankaltaisia kohteita löytyy paljon myös Pohjoismaista, joissa julkiset ja yksityiset toimijat ovat tukeneet Ukrainaa vuodesta 2022 alkaen.
SocGholish on viime vuosina noussut keskeiseksi kiristyshaittaohjelmien alkuketjuksi, sillä sen ylläpitäjä TA569 toimii rikollisille eräänlaisena sisäänpääsyn välittäjänä. Pääsy vaarantuneisiin koneisiin myydään eteenpäin esimerkiksi LockBit- ja Dridex-verkostoille, mikä tekee riskistä monikerroksisen ja vaikeasti ennakoitavan.
Arctic Wolf korostaa, että "päivitys"-ikkunoita ei tule koskaan hyväksyä suoraan selainponnahdusikkunasta, vaan ohjelmistot on päivitettävä ainoastaan virallisten kanavien kautta. Lisäksi päätelaitteissa tulisi seurata poikkeavia PowerShell-komentoja, epätyypillisiä verkkoyhteyksiä ja käyttäjätason hakemuksista käynnistyviä .dll-tiedostoja, jotka ovat tyypillisiä SocGholish-ketjun osia.
Organisaatioille suositellaan myös sovellusten sallittujen lähteiden rajaamista, selainten ja lisäosien tiivistä päivitysvalvontaa sekä jatkuvaa henkilöstön koulutusta – sillä hyökkääjät pyrkivät hyödyntämään nimenomaan sitä, että uhrilla on ”hyvät turvallisuustottumukset” ja halu pitää selaimensa ajan tasalla.
Kun suurteholaskennan (HPC) työkuormat monimutkaistuvat, generatiivinen tekoäly sulautuu yhä tiiviimmin moderneihin järjestelmiin ja lisää kehittyneiden muistiratkaisujen tarvetta. Vastatakseen näihin muuttuviin vaatimuksiin ala kehittää uuden sukupolven muistiarkkitehtuureja, jotka maksimoivat kaistanleveyden, minimoivat latenssin ja parantavat energiatehokkuutta.