LevelBlue şirketi Trustwave SpiderLabs’ın yeni araştırmasına göre, SocGholish adı verilen yaygın bir siber güvenlik tehdidi, temel yazılım güncellemelerini kurbanlar için küresel bir tuzağa dönüştürüyor.
FakeUpdates olarak da bilinen bu gelişmiş tehdit yalnızca tek bir kötü amaçlı kod parçası değildir; SocGholish, gelişmiş bir Hizmet Olarak Kötü Amaçlı Yazılım (MaaS) platformu olarak çalışır. Bu hizmet, bağlı kuruluşların güçlü kötü amaçlı yazılımları (fidye yazılımı gibi) yaymak ve dünya çapındaki işletmelerden hassas bilgileri çalmak için SocGholish ağını kullanmasına olanak tanır. SocGholish’in 2017’den beri aktif olduğu bildiriliyor.
Operasyon TA569 olarak bilinen bir tehdit grubu tarafından yürütülüyor. Saldırı yöntemleri basit ama son derece etkilidir: Bir web tarayıcısı veya Flash Player için yapılanlar gibi normal bir yazılım güncellemesi, kullanıcıları kötü amaçlı dosyalar indirmeleri için kandırır.
TA569, ilk saldırıyı gerçekleştirmek için meşru web sitelerini ele geçirir ve kötü amaçlı komut dosyaları enjekte eder; güvenliği ihlal edilmiş “wp-admin” hesapları gibi zayıf noktalardan yararlanarak sıklıkla savunmasız WordPress sitelerini hedef alır. Suçlular ayrıca, güvenlik kontrollerinden kaçınmak için güvenilir web sitelerinde gizlice kötü amaçlı alt alan adları oluşturdukları Etki Alanı Gölgeleme adı verilen bir teknik de kullanıyor.
MaaS Operasyonu ve İlk Erişim Aracılığı
Araştırma, TA569’un bir İlk Erişim Aracısı (IAB) olarak hareket ederek diğer suç gruplarına ücret karşılığında SocGholish enfeksiyon yöntemlerine erişim sunduğunu ortaya koyuyor. İş modelleri başkalarının saldırılardan kar elde etmesini sağlamak etrafında döndüğü için motivasyonları öncelikle finansaldır. SocGholish’i kullanan en tanınmış gruplardan biri, Rus istihbarat servisleriyle bağları olan bir Rus siber suç örgütü olan Evil Corp’tur.
Trustwave araştırmacıları, son etkinliklerle ilgili olarak, platformun 2025’in başlarında aktif RansomHub fidye yazılımını dağıtmak için kullanıldığını ve bunun da yakın zamanda yüksek etkili sağlık hizmetleri saldırılarına yol açtığını belirtti. Bunun bir örneği RansomHub’un SocGholish’i kullanarak Kaiser Permanente’nin İK portalını taklit eden kötü niyetli Google Ads’ü dağıtması ve bu durumun Change Healthcare ve Rite Aid’e daha sonra saldırılara yol açmasıydı.
Araştırmacılar ayrıca, SocGholish tarafından dağıtıldığı gözlemlenen yüklerinden biri olan Raspberry Robin solucanı ile askeri istihbarat teşkilatı GRU Birimi 29155 aracılığıyla Rus hükümetiyle bir miktar bağlantı olduğu için devlet destekli bir bağlantı da tespit ettiler.
Trustwave siber tehdit istihbaratı analisti Cris Tomboc, Hackread.com ile paylaşılan blog yazısında, bu, SocGholish’in güvenilir web altyapısını “bir enfeksiyon vektörüne” dönüştürerek geniş kapsamlı etkisini kanıtlıyor.
Hedefleme ve Yükler
Raporda, operatörlerin mağdurları konumları veya sistem ayarları gibi faktörlere göre filtrelemek için Keitaro ve Parrot TDS gibi Trafik Dağıtım Sistemlerini (TDS) kullandıkları ve “yalnızca amaçlanan hedeflerin yüke maruz kalmasını” sağladığı belirtiliyor.
Bir sisteme virüs bulaştığında, kötü amaçlı yazılım geniş bir yelpazede devam eden tehditler sunabilir. Yükler arasında LockBit ve RansomHub gibi çok sayıda fidye yazılımı ailesi, AsyncRAT gibi Uzaktan Erişim Truva Atları (RAT’lar) ve çeşitli veri çalma programları yer alıyor.
Bu önemli bir bulgu çünkü SocGholish’in çeşitli hedeflere uyum sağlama ve meşru web sitelerini büyük ölçekli kötü amaçlı yazılım dağıtım platformlarına dönüştürme yeteneğinin, dünyanın her yerindeki kuruluşlar için kritik bir tehdit statüsünü sağlamlaştırdığını ortaya koyuyor.