Kötü şöhretli bir yükleyici kötü amaçlı yazılım olan Socgholish, siber suçlular için kritik bir araca dönüştü ve genellikle kobalt grevi ve daha yakın zamanlarda Ransomhub fidye yazılımı gibi yükler sundu.
Darktrace’in tehdit araştırma ekibi, Ocak 2025’ten bu yana, tehdit aktörlerinin Socgholish’i sahte tarayıcı güncellemeleri ve WordPress gibi savunmasız CMS platformlarına JavaScript tabanlı saldırılarla uzatmak için Socgholish’i sömürdüğü birçok olay izledi.
HTML veya meşru web sitelerinin harici kaynaklarına kötü amaçlı komut dosyaları enjekte ederek, saldırganlar şüphesiz kullanıcıları güncelleme sayfalarını taklit etmeye yönlendirerek onları Socgholish yükleyicileri içeren zip dosyalarını indirmeye yönlendirir.
.png
)
Böyle bir dava, tehlikeye atılan site garajebeventleri içeriyordu[.]com, PackedBrick gibi Keitaro Trafik Dağıtım Sistemi (TDS) alanlarına veri indirmelerini ve sonraki bağlantılarını başlatma[.]DarkTrace’in cihaz olay günlüklerinde gözlemlendiği gibi yük alımı için com.
WebDAV ve SCF taktikleri aracılığıyla yenilikçi kimlik hırsızlığı
Enfeksiyon sonrası, Socgholish kampanyaları, eski protokollerden yararlanan sofistike kimlik bilgisi erişim tekniklerini ortaya koyuyor.
Darktrace analistleri, enfekte olmuş cihazların Web Dağıtılmış Yazarlık ve Sürüm (WebDAV) kullanarak zorunlu kimlik doğrulamasını 161.35.56 gibi harici uç noktalara yönlendirdiği durumları belirledi.[.]33.
Windows tarafından yerel olarak desteklenen bu protokol, HTTP üzerinden uzaktan dosya yönetimini mümkün kılar ve kullanıcı karmalarını çevrimdışı çatlama için saldırganlara maruz bırakan otomatik NTLM kimlik doğrulama girişimlerini başlatır.
Paralel bir taktikte, saldırganlar, UNC yollarını aynı harici IP’ye yerleştirerek ‘Thumbs.scf’ adlı kötü amaçlı kabuk komut dosyalarını (SCF) yüklediler.
Kullanıcılar bu paylaşımlara eriştiğinde, sistemleri farkında olmadan NTLM karmalarını saldırgan kontrollü sunuculara gönderdi ve enfekte olan ana bilgisayardan doğrudan giden başlatma olmadan yanal hareketi kolaylaştırdı.
Bu yöntemler, pasif iç maruziyeti ve kimlik gerçeği hırsızlığı için sistem düzeyinde davranışlardan yararlanmaya yönelik kasıtlı bir kaymanın altını çizmektedir.
Ayrıca, kontrat sonrası faaliyetler genellikle Python tabanlı arka kapıları içerir ve etkilenen cihazlar dosyalara bağlanır.[.]Paket indirmeleri için org, kalıcı erişim sağlar.
Darktrace ayrıca Socgholish’in 443 numaralı bağlantı noktasındaki HTTP’ler üzerinden komuta ve kontrol (C2) iletişimini, ardından standart olmayan limanlarda bağlantı noktası atlama gibi savunma kaçakçısı taktiklerini kullanarak Ransomhub altyapısına bağlantılara dikkat çekti (örn. 2308, 2311).
Bu teknik C2 trafiğini gizler, temel çıkış filtrelerini atlar ve kötü amaçlı yazılımların gizliliğini artırır.
Socgholish’in fidye yazılımı bağlı kuruluşları ile kesintisiz entegrasyonu, ilk erişim yükleyicilerinin geniş bir ağın uzlaştığı siber suçlu ekosistemlerde büyüyen bir sinerjiyi vurgulamaktadır.
Saldırganlar sömürü sonrası oyun kitaplarını geliştirdikçe, bu gelişen öldürme zincirlerini izlemek fidye yazılımı dağıtımını önlemek için çok önemli hale gelir.
Uzlaşma Göstergeleri (IOCS)
| Gösterge | Değer | Tanım |
|---|---|---|
| GarageBevents[.]com | 35.203.175[.]30 | Muhtemelen tehlikeye atılmış web sitesi |
| paketi[.]com | 176.53.147[.]97 | Socgholish Teslimat İçin Keitaro TDS Alanı |
| RednoseHorse[.]com | 176.53.147[.]97 | Socgholish Teslimat İçin Keitaro TDS Alanı |
| blackshelter[.]org | 176.53.147[.]97 | Socgholish Teslimat İçin Keitaro TDS Alanı |
| kara[.]com | 176.53.147[.]97 | Socgholish Teslimat İçin Keitaro TDS Alanı |
| sanal .urban-Ortodonti[.]com | 185.76.79[.]50 | Socgholish dağıtım son noktası |
| msbdz.crm.BestIntownpro[.]com | 166.88.182[.]126 | Socgholish C2 uç noktası |
| Ransomhub Python C2 | 185.174.101[.]240 | Ransomhub C2 Altyapı |
| Ransomhub Python C2 | 185.174.101[.]69 | Ransomhub C2 Altyapı |
| Ransomhub Python C2 | 108.181.182[.]143 | Ransomhub C2 Altyapı |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!