Банда вымогателей сотрудничает с Socgholish, обширной вредоносной операцией, в которой используются скомпрометированные веб -сайты и поддельные обновления браузера. src = «https://imgproxy.divecdn.com/rmtvrsx2kzunvnwp5gfzbvqws1fm1flmhp3dsyfb2c0/g:ce/rs:fill:120 0: 675: 1/z3m6ly9kaxzlc2l0zs1zdg9yywdll2rpdmvpbwfnzs9hzxr0eultywdlcy0xnjixoty2mjailmpwzw ==. Webp » alt = «ransomhub с использованием схемы Fakeupdates для атаки государственного сектора»/> < /p> Istock /Getty Images Plus через Getty Images
Актеры кибер-угрозы Ransomhub нашли новый способ развертывания своих вымогателей, и они используют его для нацеливания на правительственные организации США. Ransomhub появился в начале 2024 года и с тех пор забрал более 200 жертв, требуя ответственности за заметные атаки против изменений в здравоохранении и обряда.
В сообщении в блоге в пятницу исследователи Trend Micro изложили, как Socgholish Framework предоставляет вымогательную программу Ransomhub в многоступенчатой цепочке атак, в которой есть тысячи скомпрометированных веб -сайтов. «По состоянию на начало 2025 года обнаружения Socggholish были самыми высокими в Соединенных Штатах, причем правительственные организации в числе наиболее пострадавших», — написали исследователи, добавив, что банковские и консалтинговые организации также подвергались активным целям.
С первого появления в 2018 году визитная карточка Socgholish стала использованием поддельных обновлений браузера и программного обеспечения, чтобы обмануть пользователей в загрузке вредоносного контента. «Socggholish характеризуется его очень запутанным загрузчиком JavaScript, который использует ряд методов уклонения, которые позволяют ему эффективно обходить традиционные методы обнаружения на основе подписи»,-написали исследователи.
Чтобы заразить пользователей, операторы Socgholish используют сеть законных веб -сайтов, которые ранее были скомпрометированы со злонамеренным сценарием, который захватывает веб -трафик. Когда пользователи посещают эти сайты, Socgholish перенаправляет их с помощью Keitoro, коммерческой системы распределения трафика (TDS), базирующейся в Эстонии, которая уже давно была связана с Socgholish и другими злонамеренными действиями.
Обновления фальшивых браузеров
Актеры угроз используют экземпляры Keitoro «Rogue», чтобы отправить ничего не подозревающих пользователей подделка обновления браузера, содержащие вредоносные программы сокгхолиша, и отфильтровать «нежелательный трафик от песочниц и исследователей». Как только пользователи нажимают на фальшивые обновления, актеры угроз устанавливают запутанный загрузчик JavaScript и начинают развертывание дополнительных полезных нагрузок. Бэкдор устанавливает жесткое соединение с сервером команды и управления (C2), который субъекты угроз могут использовать для экстрафильтрации конфиденциальных данных из сетей жертв.
Исследователи Trend Micro сказали, что Socgholish также использует сеть скомпрометированных веб -сайтов для целей C2, а также с использованием метода, называемой «тени домена». Как только актеры угроз ставят под угрозу веб -сайт, они могут установить новые субдомен для вредоносной деятельности, которая не будет заблокирована продуктами безопасности, поскольку они связаны с законными сайтами. В прошлом месяце исследователи Proofpoint выделили новые кампании, развернутые вредоносные программные программы для систем Windows, Android и MacOS, которые также перемещают похищенный трафик через TDS Keitoro.
«Огромный объем скомпрометированных веб-сайтов, ведущих к SocGholish, в сочетании с использованием коммерческих TDS для уклонения от песочницы и гусеницы и использования процедур против сандбоков может представлять собой проблему для определенных автоматизированных решений для обнаружения, таких как песочницы, которые могут позволить SocGholish работать в условиях, что приводит к высокораз бытым атакам»,-написали исследователи. Угроза
Trend Micro называется Socgholish Infections «критическими событиями», которые должны срочно рассмотрены группами безопасности. Компания по кибербезопасности призвала организации развернуть расширенные решения для обнаружения и реагирования (XDR) для выявления и исправления сокгхолиша, а также ограничение выполнения законных инструментов, таких как PowerShell. Например, предыдущие кампании Socgholish использовали скомпрометированные сайты WordPress, чтобы захватить трафик и доставить вредоносное ПО.
