Socgholish kötü amaçlı yazılımların arkasındaki tehdit aktörleri, şüpheli olmayan kullanıcıları kabataslak içeriklere filtre etmek ve yönlendirmek için Parrot TDS ve Keitaro TDS gibi trafik dağıtım sistemlerinden (TDS) yararlanıyor.
Silent Push bir analizde, “Operasyonlarının çekirdeği, enfekte olmuş sistemlerin diğer siber suçlu kuruluşlara ilk erişim noktaları olarak satıldığı, hizmet olarak kötü amaçlı yazılım (MAAS) modelidir.” Dedi.
FakeUpdates olarak da adlandırılan Socgholish, Google Chrome veya Mozilla Firefox gibi web tarayıcıları için aldatıcı güncellemeler ve Adobe Flash Player veya Microsoft Teams gibi diğer yazılımlar olarak aldatıcı güncellemeler olarak tehlikeye atılan web siteleri aracılığıyla dağıtılan bir JavaScript yükleyici kötü amaçlı yazılımdır. Altın Prelude, Hardal Tempest, Mor Vallhund ve UNC1543 olarak da izlenen TA569 adlı bir tehdit oyuncusuna atfedilir.
Saldırı zincirleri, SoChgholish’i Evil Corp (AKA Dev-0243), Lockbit, Dridex ve Raspberry Robin (diğer adıyla Roshtyak) dahil olmak üzere farklı bir müşteriye sistemden ödün veren ilk erişim ve broker oluşturmak için dağıtmayı içerir. İlginç bir şekilde, son kampanyalar Socgholish için bir dağıtım vektörü olarak Ahududu Robin’i de kullandı.
Silent Push, “Socgholish enfeksiyonları tipik olarak birçok farklı şekilde enfekte olan güvenliği ihlal edilmiş web sitelerinden kaynaklanıyor.” Dedi. “Web sitesi enfeksiyonları, Socgholish yük dağıtımının doğrudan enfekte bir web sayfasından yüklenen JS’yi veya ilgili enjeksiyonu yüklemek için bir ara JS dosyası kullanan doğrudan enjeksiyonun bir versiyonu aracılığıyla enjekte ettiği doğrudan enjeksiyonları içerebilir.”
Meydan okulu web siteleri aracılığıyla socgholish alanlarına yönlendirmenin yanı sıra, başka bir birincil trafik kaynağı, parrot TDS ve Keitaro TDS gibi üçüncü taraf TDSE’leri belirli web sitelerine yönlendirmek için veya site ziyaretçisinin geniş parmak izi gerçekleştirdikten sonra iniş sayfalarına kullanmayı ve önceden tanımlanmış kriterlere dayanarak ilgi çekici olup olmadıklarını belirlemeyi içerir.
Keitaro TDS, istismar kitleri, yükleyiciler, fidye yazılımı ve Rus etkisi operasyonları da dahil olmak üzere daha sofistike kötü amaçlı yazılımlar sunmak için kötüverizasyon ve dolandırıcılıkların ötesine geçen tehdit faaliyetine uzun zamandır katıldı. Geçen yıl, Infoblox, bir Vextrio ortağı Socgholish’in kurbanları Vextrio’nun TDSE’lerine yönlendirmek için Keitaro’yu nasıl kullandığını açıkladı.
“Keitaro ayrıca birçok meşru uygulamaya sahip olduğundan, kuruluşlar bunu kendi politikalarında düşünebilmesine rağmen, aşırı yanlış pozitifler üretmeden hizmet üzerinden trafiği engellemek genellikle zor veya imkansızdır.”
Keitaro TDS, web sitelerini tehlikeye atarak ve bir Keitaro TDS bağlantısı enjekte ederek ve daha sonra müşterilerine satarak hem Socgholish hem de TA2727 için bir trafik sağlayıcı olarak işlev gören TA2726’ya bağlı olduğuna inanılıyor.
“Ara c2 [command-and-control] Framework, kurbanların çalışma zamanında indirdikleri yükleri dinamik olarak üretiyor. “
“Yürütme çerçevesi boyunca, ilk Socgholish enjeksiyonundan Windows implantının cihazda yürütülmesine kadar, tüm sürecin Socgholish’in C2 çerçevesi tarafından sürekli olarak izlendiğini belirtmek gerekir. Herhangi bir zamanda, çerçevenin ‘meşru’ olmadığını belirlerse, bir yükün ‘meşru’ olmadığını belirler.
Siber güvenlik şirketi, gözlemlenen kampanyaların üst üste binen doğası göz önüne alındığında, Dridex, Raspberry Robin ve Socgholish’e katılan eski üyelerin olduğunu da değerlendirdi.
Geliştirme, Zscaler’ın Raspberry Robin’in gelişmiş gizleme yöntemleri, ağ iletişim sürecinde değişiklikler içeren ve kasıtlı olarak yozlaşmış TOR C2 alanlarına işaret eden, tespiti önlemek ve ters mühendislik çabalarını engellemek için devam eden çabaları işaret eden güncellenmiş bir versiyonunu ayrıntılı olarak açıklamaktadır.
Şirket, “Ağ şifreleme algoritması AES’den (TO Modu) Chacha-20’ye değişti.” Dedi. “Raspberry Robin, hedeflenen sistemlerde yüksek ayrıcalıklar kazanmak için yeni bir yerel ayrıcalık artış (LPE) istismar (CVE-2024-38196) ekledi.”
Açıklama ayrıca, Process Hollowing adlı bir teknik kullanılarak başlatılan ve yürütülen Visual Basic 6’da yazılmış Stealer yükünün confuserex korumalı bir versiyonunu sunmak için kimlik avı e-postaları kullanan DarkCloud Stealer saldırılarının evrimini de izler.
Ünite 42, “DarkCloud Stealer, siber tehditlerde bir evrim tipiktir, geleneksel algılama mekanizmalarından kaçınmak için gizleme tekniklerini ve karmaşık yük yapılarından yararlanıyor.” Dedi. “Nisan 2025’te gözlemlenen teslimat yöntemlerindeki değişim, gelişen bir kaçırma stratejisini gösteriyor.”