Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,7 тыс подписчиков

Операция Endgame отключила инфраструктуру SocGholish

3 мин
Международная операция правоохранительных органов Operation Endgame, нацеленная на киберкриминальную инфраструктуру, нанесла ощутимый удар по SocGholish — фреймворку malware, который в основном используется для initial access и последующей передачи доступа другим злоумышленникам, включая печально известную группу EvilCorp. В ходе операции были отключены 106 server and domain, связанных с SocGholish, а также устранены последствия компрометации почти 15 000 WordPress sites, которые использовались для распространения вредоносного ПО. SocGholish остается одной из наиболее устойчивых угроз в киберпространстве уже почти десять лет. Этот фреймворк часто выступает отправной точкой для современных data breach, где получение первоначального доступа становится критически важным этапом для дальнейшего развертывания вредоносной нагрузки. За SocGholish стоит группировка TA569, также известная как Mustard Tempest. Ее специализация — компрометация устройств в корпоративных сетях с целью получения повы
Оглавление

Международная операция правоохранительных органов Operation Endgame, нацеленная на киберкриминальную инфраструктуру, нанесла ощутимый удар по SocGholish — фреймворку malware, который в основном используется для initial access и последующей передачи доступа другим злоумышленникам, включая печально известную группу EvilCorp.

В ходе операции были отключены 106 server and domain, связанных с SocGholish, а также устранены последствия компрометации почти 15 000 WordPress sites, которые использовались для распространения вредоносного ПО.

Что такое SocGholish

SocGholish остается одной из наиболее устойчивых угроз в киберпространстве уже почти десять лет. Этот фреймворк часто выступает отправной точкой для современных data breach, где получение первоначального доступа становится критически важным этапом для дальнейшего развертывания вредоносной нагрузки.

За SocGholish стоит группировка TA569, также известная как Mustard Tempest. Ее специализация — компрометация устройств в корпоративных сетях с целью получения повышенных привилегий и последующей продажи этого доступа другим киберпреступникам.

Связи с другими malware

SocGholish связан с рядом известных семейств malware, включая:

  • DoppelPaymer;
  • LockBit.

Такая связность подчеркивает его значимость в экосистеме киберкриминала: SocGholish не просто распространяет malware, а фактически выступает как инфраструктурный сервис для более широких атак.

Как работает схема заражения

Фреймворк использует многоэтапный JavaScript framework, превращая скомпрометированные сайты в инструмент для drive-by downloads. Основная тактика — поддельные запросы на обновление, с помощью которых жертву убеждают выполнить вредоносную JScript payload.

Процесс заражения обычно строится по следующей схеме:

  • трафик перенаправляется через скомпрометированные WordPress sites;
  • далее он проходит фильтрацию с применением fingerprinting techniques, позволяющих уклоняться от обнаружения;
  • затем задействуется многоуровневая инфраструктура с маршрутизацией через различных аффилированных лиц, что скрывает источник атаки.

На конечном этапе вредоносное ПО может показывать разные шаблоны, имитирующие легитимные запросы на обновление browser. Пользователь, введенный в заблуждение, запускает вредоносный скрипт на своем устройстве.

Минимальный код, максимальный эффект

Отдельного внимания заслуживает так называемый stager — скрипт, состоящий всего из шести строк кода. Он подключается к command and control server и помогает оценить ценность зараженной системы, в частности, определяя, есть ли у нее связь с корпоративной сетью.

Даже один успешный случай эксплуатации может привести к масштабной утечке данных.

Теневая инфраструктура и быстрая ротация доменов

Одна из наиболее коварных техник SocGholish — shadow domains. Злоумышленники создают поддельные subdomains под легитимными доменами, чтобы использовать доверие, связанное с основным ресурсом.

Эта схема повышает operational security атакующих: такие домены часто остаются менее заметными, чем новые зарегистрированные домены. Более того, их быстрая ротация усложняет выявление и реагирование, поскольку у защитников остается крайне мало времени до смены инфраструктуры.

Масштаб воздействия

Операционное влияние SocGholish оказалось значительным. Более половины проанализированных client networks в течение пяти месяцев пытались подключиться к связанной инфраструктуре. При этом большая часть соединений была заблокирована благодаря уже действующим security controls, что ограничило число успешных компрометаций.

Тем не менее специалисты подчеркивают: даже единичный успешный инцидент способен привести к серьезным последствиям для компании, включая кражу данных, закрепление в сети и последующее распространение malware.

Что означает удар по SocGholish

Operation Endgame продолжает нарушать работу инфраструктуры SocGholish, однако эксперты отмечают, что дальнейший monitoring необходим для понимания того, как будет меняться ландшафт киберугроз после операции.

Потенциальное снижение активности SocGholish создает для defenders окно возможностей: именно сейчас можно усилить защиту от векторов initial access, которые по-прежнему остаются критически важными для современных cyberattacks.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Операция Endgame отключила инфраструктуру SocGholish".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: MAX | VK | Rutube | Telegram | Дзен | YouTube.