Socgholish olarak bilinen sofistike bir kötü amaçlı yazılım operasyonu, şüpheli olmayan kullanıcıların sistemlerini tehlikeye atmak için meşru yazılım güncellemeleri olarak maskelenen İnternet’in en kalıcı ve aldatıcı tehditlerinden biri olarak ortaya çıktı.
Siber suç grubu TA569 tarafından işletilen kötü amaçlı yazılım, basit bir sahte güncelleme çerçevesinden çok sayıda yüksek profilli siber suçlu kuruluş için ilk erişim brokeri olarak hizmet veren karmaşık bir Hizmet Olarak Kötü Yazılım (MAAS) operasyonuna dönüştü.
Socgholish’in birincil saldırı vektörü, Adobe Flash Player ve Microsoft takımları için güncellemeleri taklit etmeye genişlemiş olsa da, özellikle Chrome ve Firefox kullanıcılarını hedefleyen ikna edici sahte tarayıcı güncelleme bildirimlerini sergilemeyi içerir.
Operasyon, kritik yazılım güncellemeleri gibi görünen şeyleri yükleme istekliliğinden yararlanarak kullanıcıların güvenlik bilincinden yararlanır ve temel bir güvenlik uygulamasını etkili bir şekilde uzlaşma vektörüne dönüştürür.
Kötü amaçlı yazılım iş modeli, Lockbit, Evil Corp ve gelişmiş kalıcı tehdit organizasyonları gibi kötü şöhretli gruplar da dahil olmak üzere çeşitli tehdit aktörlerine tehlikeye atılan sistemlere erişim satmaya odaklanmaktadır.
Bu ilk erişim broker yaklaşımı, Socgholish’i modern siber suç ekosisteminde kritik bir bileşen haline getirdi ve enfeksiyonlar genellikle fidye yazılımı dağıtımlarına, bilgi hırsızlığına ve uzaktan erişim truva kurulumlarına yol açtı.
Sessiz Push analistleri, Socgholish’in başarısının trafik dağıtım sistemlerini, özellikle de Parrot TDS ve Keitaro TDS’nin sofistike kullanımından kaynaklandığını belirledi, bu da kötü amaçlı yazılımların kurbanları cerrahi hassasiyetle filtrelemesini ve yönlendirmesini sağladı.
Geleneksel olarak meşru çevrimiçi reklamcılıkta kullanılan bu sistemler, güvenlik araştırmacıları ve otomatik analiz sistemleri tarafından algılanırken hedeflenen kötü amaçlı içerik sunmak için silahlandırılmıştır.
Gelişmiş filtreleme ve enfeksiyon mekanizmaları
Kötü amaçlı yazılım, kurban seçimi ve kaçırma tekniklerinde dikkate değer bir sofistike olduğunu gösteren çok katmanlı bir filtreleme sistemi kullanır.
Socgholish, yalnızca meşru hedeflerin kötü amaçlı yükler almasını, WordPress yöneticilerini filtreleme, daha önce enfekte olmuş kullanıcıları ve sanal alan ortamlarını veya mobil cihazları gösterebilecek alışılmadık derecede küçük ekran boyutları kullanan kullanıcıları almasını sağlamak için kapsamlı kontroller uygular.
.webp)
Enfeksiyon süreci, şu şekilde kod snippets tarafından kanıtlandığı gibi, tehlikeye atılan web sitelerinde JavaScript enjeksiyonları ile başlar:-
Bu enjeksiyon, TDS altyapısı aracılığıyla karmaşık bir yönlendirme zinciri başlatır ve sonuçta kurbanları orijinal web sitesi içeriğinin yerini alan ikna edici sahte güncelleme sayfaları sunar.
Kötü amaçlı yazılım, yerleşik web sitelerinin itibarını miras alan kötü amaçlı alt alanlar oluşturmak için meşru alan barındırma hesaplarından ödün vererek, algılamayı önemli ölçüde daha zor hale getiren etki alanı gölgeleme tekniklerini kullanır.
İndirilen yük, genellikle Tor vekillerinin arkasına gizlenmiş komut ve kontrol sunucuları ile kalıcı iletişim kuran, tehditli sistemlere uzun vadeli erişimi korurken tehdit aktörleri için operasyonel güvenliği sağlarken, gizlenmiş JavaScript içeren “LestVersion.js” veya tarayıcıya özgü güncelleme dosyaları olarak görünür.
SOC'nizi en son tehdit verilerine tam erişimle donatın Herhangi biri. Olay yanıtı iyileştirebilir -> 14 günlük ücretsiz deneme alın