Ransomhub siber tehdit aktörleri fidye yazılımlarını dağıtmanın yeni bir yolunu buldular ve bunu ABD hükümet kuruluşlarını hedeflemek için kullanıyorlar.
Trend Micro’ya göre, üretken fidye yazılımı çetesi, saldırılarını kolaylaştırmak için FakeUpdates olarak da bilinen uzun süreli bir hizmet olarak kötü amaçlı yazılım olan Socgholish’i kullanıyor. Ransomhub 2024 başında ortaya çıktı ve rafa çıktı 200’den fazla kurban O zamandan beri, değişim sağlık ve ayin yardımına karşı önemli saldırıların sorumluluğunu üstleniyor.
Bir Blog yazısı Cuma günü, trend mikro araştırmacıları, Socgholish çerçevesinin binlerce uzlaşmacı web sitesine sahip çok aşamalı bir saldırı zincirinde fidye yazılımlarını nasıl sunduğunu açıkladı. Araştırmacılar, “2025’in başlangıcından itibaren Socgholish tespitleri ABD’de en yüksekti, en çok etkilenenler arasında hükümet kuruluşları ile” diye yazdı.
2018’de ilk ortaya çıktığından beri, Socgholish’in arama kartı, kullanıcıları kötü niyetli içerik indirmek için kandırmak için sahte tarayıcı ve yazılım güncellemelerinin kullanılması oldu. Araştırmacılar, “Socgholish, geleneksel imza tabanlı algılama yöntemlerini etkili bir şekilde atlamasını sağlayan bir dizi kaçırma tekniği kullanan son derece gizlenmiş JavaScript yükleyicisi ile karakterize ediliyor” diye yazdı.
Kullanıcıları enfekte etmek için Socgholish operatörleri, daha önce web trafiğini kaçıran kötü amaçlı bir komut dosyasıyla tehlikeye atılmış bir meşru web sitesi ağı kullanırlar. Kullanıcılar bu siteleri ziyaret ettiğinde, Socgholish bunları kullanarak bunları yönlendirir KeitaroEstonya merkezli bir ticari trafik dağıtım sistemi (TDS) uzun zamandır Socgholish ve diğer kötü amaçlı aktivite ile ilişkilidir.
Sahte tarayıcı güncellemeleri
Tehdit aktörleri, şüphesiz kullanıcıları Socgholish kötü amaçlı yazılımları içeren sahte tarayıcı güncellemelerine göndermek ve “kum havuzlarından ve araştırmacılardan istenmeyen trafiği” filtrelemek için “Rogue” Keitaro örneklerini kullanıyor. Kullanıcılar sahte güncellemeleri tıkladıktan sonra, tehdit aktörleri gizlenmiş JavaScript yükleyicisini yükler ve ek yükler dağıtmaya başlar.
Ransomhub saldırılarında, Socgholish tehdit aktörleri Ransomhub iştiraklerine ilk erişim sağlayan Python tabanlı arka kapı bileşenleri kullanıyor. Arka kapı, tehdit aktörlerinin kurbanların ağlarından hassas verileri sunmak için kullanabileceği bir komut ve kontrol (C2) sunucusuna sert kodlanmış bir bağlantı kurar.
Trend Micro Researchers, Socgholish’in C2 amaçları için tehlikeye atılan web siteleri ağını da kullandığını ve “Alan Gölgeleme” adlı bir teknik kullandığını söyledi. Tehdit aktörleri bir web sitesini tehlikeye attığında, kötü niyetli etkinlik için yeni alt alanlar kurabilirler, bu da meşru web siteleriyle ilişkili oldukları için güvenlik ürünleri tarafından engellenmeyecektir.
Ransomhub saldırıları, Socgholish’in bu yıl kolaylaştırdığı tek tehdit değil. Geçen ay, Proofpoint araştırmacıları Vurgulanan yeni kampanyalar Keitaro’nun TD’leri aracılığıyla kaçırılmış trafiği de hareket ettiren Windows, Android ve MacOS sistemleri için Infostealer kötü amaçlı yazılımları dağıtmak.
“Socgholish’e yol açan güvenliği ihlal edilmiş web sitelerinin hacmi, sanal alan ve paletli kaçış için ticari bir tank avcısı kullanımı ve sandalye karşıtı rutinlerin kullanılması, Socgholish’in ortamlarda çalışmasını sağlayabilen ve oldukça etkili saldırılara yol açabilecek bazı otomatik algılama çözümleri için bir meydan okuma oluşturabilir” diye yazdı.
Acil siber tehdidi
Trend Micro, Socgholish enfeksiyonlarını güvenlik ekipleri tarafından acilen ele alınması gereken “eleştirel olaylar” olarak adlandırdı. Siber güvenlik şirketi, kuruluşları Socgholish etkinliğini tanımlamak ve iyileştirmek için genişletilmiş algılama ve yanıt (XDR) çözümleri kullanmaya ve PowerShell gibi meşru araçların yürütülmesini kısıtlamaya çağırdı.
Araştırma ekibi, Socgholish aktörlerinin, meşru web sitelerini tehlikeye atmak için sık sık savunmasız içerik yönetim sistemlerini ve CMS eklentilerini hedeflemeyi hedeflediğini uyardı. Örneğin, önceki Socgholish kampanyaları, trafiği ele geçirmek ve kötü amaçlı yazılım sunmak için tehlikeye atılan WordPress sitelerini kullanmıştır.