
Operation Endgame 破坏 SocGholish 服务器
荷兰、加拿大、德国和美国执法机构已打击与 SocGholish 相关的恶意基础设施,并清理近 15,000 个受感染的 WordPress 网站。网站管理员被要求更新 CMS、修改凭证并删除可疑账户,以降低进一步入侵、恶意软件传播及后续攻击风险。
荷兰执法机构与加拿大、德国和美国的同行一道,已破坏与 SocGholish 相关的恶意基础设施,并清理了近 15,000 个受感染的 WordPress 网站。
荷兰国家高科技犯罪组的 Maikel Rollman 表示:“通过这些行动,我们剥夺了网络犯罪分子访问受感染计算机系统的能力。”
“这可以防止数字系统中的公民、企业和组织遭受进一步损害,并限制恶意软件的传播。它还降低了这些系统被用于针对关键基础设施和其他重要社会流程发动网络攻击的风险。这标志着针对 SocGholish 的进一步行动的开始。”
此次清除行动是 Operation Endgame 的一部分。Operation Endgame 是一项持续进行的国际执法倡议,旨在打击僵尸网络及相关犯罪基础设施。该行动于 2024 年启动。
作为此次努力的一部分,106 台与 SocGholish 相关的服务器已被关闭,14,971 个 WordPress 网站已清除感染。网站所有者已收到通知,要求更新其内容管理系统(CMS)、更改凭证,并删除任何可疑账户。
SocGholish 自 2017 年起活跃,也被称为 FakeUpdates,是一种基于 JavaScript(JS)的下载器恶意软件,通常充当来自不同威胁行为者的下一阶段恶意软件的中转渠道,这些威胁行为者包括 Evil Corp(又名 DEV-0243、Indrik Spider 和 UNC2165)、LockBit、RansomHub、Dridex 和 Raspberry Robin(又名 Roshtyak)。
美国联邦调查局(FBI)网络部门在 LinkedIn 上分享的一篇帖子中表示:“该恶意软件在受害者计算机上建立初始立足点,这些系统合称为僵尸网络,然后被威胁行为者用于进一步目标攻击,包括勒索软件活动和间谍活动。”
它通过被入侵的网站传播,伪装成 Google Chrome、Mozilla Firefox 等网页浏览器以及其他流行软件的欺骗性更新。该恶意软件的运营者被追踪为多个别名,例如 Gold Prelude、Mustard Tempest、Purple Vallhund、TA569 和 UNC1543。
Silent Push 去年在对该恶意软件的分析中指出:“SocGholish 感染通常源自已被入侵的网站,这些网站可能以多种不同方式被感染。网站感染可能涉及直接注入,即 SocGholish 载荷投递直接将 JS 注入到从受感染网页加载的内容中,或者通过一种使用中间 JS 文件来加载相关注入的直接注入变体。”
2025 年 11 月,Arctic Wolf 透露 SocGholish 正被 RomCom 威胁行为者用于投递 Mythic Agent,这凸显了这类初始访问经纪人服务被具有不同动机的广泛行为者所使用。
Orange Cyberdefense 表示,其观察到 SocGholish 感染会投递 Gholoader(另一种基于 JavaScript 的加载器)和 MintsLoader,进而导致部署 GhostWeaver、LockBit、AsyncRAT 和 NetSupport RAT 等额外载荷。
该网络安全公司称:“SocGholish 使用分层投递模型,并已被观察到可启用多类后续载荷。”同时补充说,该威胁行为者还与 TA2726 等流量分发系统(TDS)运营者合作。
TDS 是一种根据不同因素将网站访问者路由到不同目的地的技术。这可以包括托管钓鱼页面的受感染或伪造登录网站,也可以是诱导用户下载包含恶意软件的软件更新的虚假站点,这些恶意软件随后可获取对受害者网络的访问权限,以实施勒索软件或其他金融诈骗。
FBI 表示:“网络犯罪分子使用 TDS 绕过传统防火墙规则,因为这些规则原本会阻止与恶意网站的连接;同时,他们还会通过收集 IP 地址、操作系统、位置、设备和浏览器信息来分析潜在受害者并进行定向。” “在通过各种社会工程手段将用户导向 TDS 之后,网络犯罪分子可以在 TDS 重定向链末端通过投递钓鱼页面、金融诈骗和其他恶意软件来利用用户设备。”
据 Shadowserver Foundation 称,许多被入侵的 WordPress 实例已被修改为包含由 SocGholish 运营的犯罪基础设施。被入侵网站绝大多数位于美国,其次是德国、法国、印度、巴西、新加坡、意大利、印度尼西亚、加拿大和越南。
这家非营利组织称:“滥用行为还包括一种称为‘Domain Shadowing’的流程。” “这是一种威胁行为者获取合法域名的权威 DNS 服务商或注册商账户面板访问权限,并利用该权限在主(‘apex’)域名下悄悄创建额外子域名的技术。”
“这些恶意子域名通常会被赋予常见主机名,以隐藏在表面之下并与域名所有者合法的 DNS 基础设施混在一起,但它们会指向由犯罪分子运营的外部恶意基础设施——实际上是借助该域名既有的信誉,并使防御者更难轻易检测或阻止非法活动。”
此外,这些受感染网站经常被多个威胁行为者利用,使毫无戒心的网站访问者暴露在一组复杂的潜在威胁之下。这些网站表现出的恶意行为取决于多个关键因素,包括用户的原籍国、所使用的浏览器类型以及底层操作系统。
Proofpoint 表示:“TA569 会不加区别地入侵网站,且具有机会主义特征,不过流量更高的网站会带来更多受害者。” “该行为者几乎入侵了所有行业的网站,从非营利组织和学校,到医疗保健和医院,再到法律和房地产机构。”
DNS 威胁情报公司 Infoblox 将 SocGholish 描述为一个多阶段 JavaScript 框架,可将受感染网站转变为 drive-by download 恶意软件投递载体。该框架通过四个主要步骤实现:流量获取、流量过滤、载荷诱饵,以及设备上的植入执行。
“TA569 本身会入侵大量网站,”它表示,“但他们也接受来自合作伙伴的流量。这是一种典型的商业关系:当用户访问该网站时,合作伙伴通常会对其进行指纹识别,然后通过嵌入链接将潜在受害者转发给 SocGholish。作为回报,合作伙伴会因这些‘线索’获得报酬。”
多年来,将流量出售给 SocGholish 框架的一些知名合作伙伴包括 TA2726、Parrot TDS 和 JunkyTDS。威胁行为者也使用 Keitaro 和 zTDS 等商业产品对流量进行过滤,以便将其重定向到 SocGholish,或者在访问被入侵网站的访客不符合条件时,将其发送到原始网站或任何其他内容。
Infoblox 的数据显示,仅今年就有约 55% 的云客户曾尝试访问 SocGholish 基础设施,而在过去五个月里,这些攻击几乎针对“每一个行业领域”。其中一些最常被针对的垂直行业包括政府、教育、银行、医疗保健、非 IT 服务、金融服务、IT 咨询、公用事业、保险和交通运输。
该公司表示:“这种分布 [...] 强化了 SocGholish 并非仅限于单一行业的边缘威胁。相反,其大规模 webinject 和 TDS 生态系统已渗透到公共部门和具有商业重要性的环境,使其成为我们客户群中广泛相关的威胁。”