В рамках скоординированной международной операции, получившей кодовое название Endgame, был нанесен существенный удар по киберпреступной инфраструктуре, стоящей за деятельностью группировки Evil Corp и распространением вредоносного ПО SocGholish (также известного как FakeUpdates или GhoLoader).
Основной целью правоохранительных органов стала нейтрализация ботнета SocGholish — сложного загрузчика малвари, который на протяжении многих лет служил ключевым инструментом для доставки различных видов вредоносных программ и проведения атак с использованием программ-вымогателей. В ходе операции была проведена широкомасштабная работа по демонтажу сети злоумышленников.
Ключевые результаты операции включают:
- Санитарную обработку 14 971 веб-сайта, работающего на системе управления контентом WordPress, которые были взломаны и использовались для распространения вредоносного кода.
- Отключение более сотни серверов и доменных имен (всего 106), составлявших командную инфраструктуру (C2-серверы) ботнета.
Технические детали и методология очистки
- Основную техническую работу по очистке зараженных интернет-ресурсов выполнили специалисты из Нидерландов. Процесс дезинфекции включал в себя не просто удаление основного вредоносного скрипта, но и комплексные меры по устранению всех следов компрометации. В частности, с сайтов удалялись:
- Внедренный JavaScript-код, отвечающий за перенаправление пользователей на фейковые страницы обновления браузера.
Установленные злоумышленниками бэкдоры (backdoors), обеспечивающие им скрытый доступ к файловой системе сервера.
По завершении технической очистки голландские эксперты предоставили администраторам скомпрометированных ресурсов исчерпывающие рекомендации по обеспечению безопасности, настоятельно советуя сменить все учетные данные, активировать многофакторную аутентификацию (MFA), провести аудит пользователей и обновить систему управления контентом (CMS) до последней стабильной версии.
«Наша главная задача — лишить преступников доступа к зараженным системам. Это позволяет предотвратить дальнейший ущерб для граждан, компаний и государственных организаций по всему миру, а также эффективно ограничить распространение вредоносного программного обеспечения», — прокомментировал итоги операции представитель Национального подразделения по борьбе с высокотехнологичными преступлениями Нидерландов Майкел Роллман.
Операция Endgame направлена против инфраструктуры, которая исторически ассоциируется с одной из самых известных и финансово мотивированных киберпреступных группировок — Evil Corp. Активность этой группы отслеживается исследователями с 2007 года, и она известна разработкой и использованием таких банковских троянов, как Zeus и Dridex, а также участием в операциях с применением вымогательского ПО (WastedLocker, Hades, Macaw Locker, Phoenix CryptoLocker).
Механизм работы SocGholish заключается во взломе легитимных, часто популярных, веб-сайтов и внедрении в их HTML-код фрагмента вредоносного JavaScript. При посещении такого сайта пользователем скрипт определяет его операционную систему и браузер, после чего отображает поддельное уведомление о необходимости срочного обновления ПО. Если пользователь поддается на уловку социальной инженерии и скачивает предложенный файл, происходит заражение его устройства. Через этот загрузчик на компьютеры жертв ранее доставлялись такие семейства вредоносных программ, как Dridex, DoppelPaymer, Empire, Koadic, Chtonic и Azorult.
Стоит отметить, что операция Endgame является продолжающейся инициативой. В прошлом году ее предыдущая фаза привела к отключению более тысячи серверов, связанных с другими вредоносными проектами, такими как Rhadamanthys, VenomRAT и Elysium. Ранее действия в рамках этой операции также затрагивали инфраструктуру других известных угроз, включая SmokeLoader, DanaBot, IcedID, Pikabot, Trickbot, Bumblebee и SystemBC.