Sofistike bir Hizmet Olarak Kötü Yazılım (MAAS) çerçevesi olan Socgholish, Ransomhub fidye yazılımlarının dağılımında önemli bir kolaylaştırıcı olarak tanımlanmıştır.
Bu kötü niyetli çerçeve, kullanıcıları sahte tarayıcı güncelleme bildirimlerine yönlendiren gizlenmiş JavaScript yükleyicileri enjekte ederek tehlikeye atılan web sitelerini kullanır.
Bu bildirimler kullanıcıları kötü amaçlı dosyaları indirmeye ve yürütmeye yönlendirir, böylece enfeksiyon sürecini başlatır.
Saldırı teknikleri ve etki
Socgholish çerçevesi, geleneksel algılama yöntemlerini atlamak için kaçırma tekniklerini kullanan yüksek derecede gizlenmiş JavaScript yükleyicisi ile karakterizedir.
Öncelikle tehdit aktörleri tarafından tehlikeye atılan meşru web siteleri aracılığıyla yayılır.
Bir kullanıcı bu sitelerden birini ziyaret ettikten sonra, meşru tarayıcı güncellemeleri olarak maskelenen aldatıcı web sayfalarına yönlendirilir.
Bu sosyal mühendislik taktiği, kullanıcıları Socgholish Loader’ı içeren kötü amaçlı bir zip dosyası indirmeye ikna eder.
Yükleyici, kötü amaçlı yükleri indirebilir ve yürütebilir, hassas verileri dışarı atabilir ve daha fazla sömürü için kalıcı erişim sağlayarak keyfi komutlar yürütebilir.
Socgholish tespitleri ABD’de en yaygın olanıdır ve hükümet kuruluşları en çok etkilenenler arasındadır.
Çerçeve, kum havuzlarından ve araştırmacılardan gelen istenmeyen trafiği filtrelemek için Rogue Keitaro Trafik Dağıtım Sistemi (TDS) örnekleriyle işbirliği yapar ve kötü amaçlı yazılımın daha uzun süre tespit edilmemesini sağlar.
Trend Micro Report’a göre, bu işbirliği Socgholish’in fidye yazılımı saldırılarında önemli bir oyuncu olan RansomHub gibi yüklerin sunulmasında etkinliğini artırıyor.
Savunma ve azaltma stratejileri
Socgholish müdahalelerine ve sonraki fidye yazılımı saldırılarına karşı korumak için, işletmelere genişletilmiş algılama ve yanıt çözümleri dağıtmaları, bitiş noktalarını sertleştirmeleri, günlüğü ve ağ izlemeyi geliştirmeleri ve web itibar hizmetlerini kullanmaları tavsiye edilir.
İçerik yönetim sistemlerinin (CMS) ve web uygulamalarının güvence altına alınması da çok önemlidir, çünkü bunlar sıklıkla tehdit aktörleri tarafından hedeflenir.
Ek olarak, yaşam sonu sistemlerinin emekliye ayrılması veya izole edilmesi saldırı yüzeyini azaltmaya yardımcı olabilir.
Web sitesi yöneticileri, CMS ve eklentiler için güvenlik duyurularını izlemeli, web uygulaması güvenlik duvarlarını dağıtmalı ve çok faktörlü kimlik doğrulama kullanarak yönetim portallarına erişimi kısıtlamalıdır.
Socgholish’in kalıcı ve kaçınıcı doğası, artan farkındalık ve sağlam siber güvenlik önlemlerine duyulan ihtiyacın altını çiziyor.
Kuruluşlar, tekniklerini anlayarak ve etkili savunmalar uygulayarak, bu kötü amaçlı yazılımla ilişkili riskleri ve fidye yazılımı saldırılarını kolaylaştırmadaki rolünü azaltabilir.
Are you from SOC/DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Start Now for Free.