Вредоносное ПО SocGholish использует взломанные сайты для доставки вирусов-вымогателей

По данным нового исследования Trustwave SpiderLabs, компании LevelBlue, широко распространенная угроза кибербезопасности под названием SocGholish превращает базовые обновления программного обеспечения в глобальную ловушку для жертв.

Эта продвинутая угроза, также известная как FakeUpdates , представляет собой не просто отдельный фрагмент вредоносного кода; SocGholish работает как сложная платформа «вредоносное ПО как услуга» ( MaaS ). Эта услуга позволяет партнёрам использовать сеть SocGholish для распространения мощного вредоносного ПО (например, программ-вымогателей) и кражи конфиденциальной информации у компаний по всему миру. По имеющимся данным, SocGholish действует с 2017 года.

Операция организована группой TA569. Метод их атаки прост, но чрезвычайно эффективен: обычное обновление программного обеспечения, например, для веб-браузера или Flash Player, обманным путём заставляет пользователей загружать вредоносные файлы.

Для осуществления первоначальной атаки TA569 взламывает легитимные веб-сайты и внедряет вредоносные скрипты, часто атакуя уязвимые сайты WordPress, используя такие уязвимости, как взломанные учётные записи «wp-admin». Преступники также используют технику «теневого копирования доменов», тайно создавая вредоносные поддомены на доверенных сайтах, чтобы избежать проверок безопасности.

Исследование показало, что TA569 предоставляет другим преступным группировкам платный доступ к методам заражения SocGholish, выступая в роли посредника по первичному доступу (IAB). Их мотивация, прежде всего, финансовая, поскольку их бизнес-модель основана на предоставлении другим возможности получать прибыль от атак. Одной из самых известных групп, использующих SocGholish, является Evil Corp, российская киберпреступная организация, связанная с российскими спецслужбами.

Что касается недавней активности, исследователи Trustwave отметили, что в начале 2025 года платформа использовалась для распространения вредоносного вируса-вымогателя RansomHub , что привело к недавним серьёзным атакам на здравоохранение. В качестве примера можно привести использование RansomHub платформы SocGholish для распространения вредоносной рекламы Google Ads, выдаваемой за HR-портал Kaiser Permanente, что впоследствии привело к атакам на Change Healthcare и Rite Aid.

Исследователи также выявили спонсируемую государством связь, поскольку существовала некоторая связь с российским правительством через его военную разведку, подразделение ГРУ 29155, при этом было замечено, что одна из его полезных нагрузок, червь Raspberry Robin , распространялся SocGholish.

Это доказывает масштабное влияние SocGholish, превращающего доверенную веб-инфраструктуру «в вектор заражения», объясняет Крис Томбок, аналитик по киберугрозам в Trustwave, в сообщении в блоге, опубликованном на Hackread.com.

Операторы используют системы распределения трафика (TDS), такие как Keitaro и Parrot TDS, для фильтрации жертв на основе таких факторов, как их местоположение или настройки системы, гарантируя, «что только предполагаемые цели будут подвергнуты воздействию полезной нагрузки», — говорится в отчете.

После заражения системы вредоносное ПО может нести широкий спектр последующих угроз. Среди вредоносных программ-вымогателей — несколько семейств, таких как LockBit и RansomHub, трояны удалённого доступа (RAT), такие как AsyncRAT , и различные программы для кражи данных.

Это важный вывод, поскольку он показывает, что способность SocGholish адаптироваться к различным целям и превращать легитимные веб-сайты в крупномасштабные платформы распространения вредоносного ПО подтверждает его статус критической угрозы для организаций по всему миру.