SocGholish Kötü Amaçlı Yazılımı, Tehlikeye Atılmış Siteleri Kullanarak Fidye Yazılımı Dağıtıyor

LevelBlue şirketlerinden Trustwave SpiderLabs'ın yeni araştırmasına göre, SocGholish adı verilen yaygın bir siber güvenlik tehdidi, temel yazılım güncellemelerini kurbanlar için küresel bir tuzağa dönüştürüyor.

FakeUpdates olarak da bilinen bu gelişmiş tehdit, tek bir kötü amaçlı kod parçasından ibaret değildir; SocGholish, gelişmiş bir Hizmet Olarak Kötü Amaçlı Yazılım ( MaaS ) platformu olarak çalışır. Bu hizmet, iştiraklerin SocGholish ağını kullanarak güçlü kötü amaçlı yazılımlar (fidye yazılımı gibi) yaymalarına ve dünya çapındaki işletmelerden hassas bilgileri çalmalarına olanak tanır. SocGholish'in 2017'den beri aktif olduğu bildiriliyor.

Operasyon, TA569 adlı bir tehdit grubu tarafından yürütülüyor. Saldırı yöntemleri basit ama oldukça etkili: Bir web tarayıcısı veya Flash Player için olan gibi normal bir yazılım güncellemesi, kullanıcıları kötü amaçlı dosyaları indirmeye kandırıyor.

TA569, ilk saldırıyı gerçekleştirmek için meşru web sitelerini ele geçirir ve kötü amaçlı komut dosyaları enjekte eder. Sık sık, ele geçirilmiş "wp-admin" hesapları gibi zayıf noktalardan yararlanarak savunmasız WordPress sitelerini hedef alır. Suçlular ayrıca, güvenlik kontrollerinden kaçınmak için güvenilir web sitelerinde gizlice kötü amaçlı alt alan adları oluşturdukları Alan Adı Gölgeleme adlı bir teknik de kullanırlar.

Araştırmalar, TA569'un diğer suç gruplarına ücret karşılığında SocGholish bulaştırma yöntemlerine erişim sağladığını ve İlk Erişim Aracısı (IAB) olarak hareket ettiğini ortaya koyuyor. Motivasyonları temel olarak finansal, çünkü iş modelleri başkalarının saldırılardan kâr elde etmesini sağlamak üzerine kurulu. SocGholish kullanan en bilinen gruplardan biri, Rus istihbarat servisleriyle bağlantıları olan bir Rus siber suç örgütü olan Evil Corp.

Son dönemdeki faaliyetlere ilişkin olarak, Trustwave araştırmacıları, platformun 2025 başlarında aktif RansomHub fidye yazılımını dağıtmak için kullanıldığını ve bunun da son zamanlarda yüksek etkili sağlık saldırılarına yol açtığını belirtti. Bir örnek olarak, RansomHub'ın Kaiser Permanente'nin İK portalını taklit eden kötü amaçlı Google reklamlarını dağıtmak için SocGholish'i kullanması ve bunun ardından Change Healthcare ve Rite Aid'e yönelik saldırılara yol açması gösterilebilir.

Araştırmacılar ayrıca, Rus hükümetinin askeri istihbarat teşkilatı GRU Unit 29155 aracılığıyla devlet destekli bir bağlantı tespit ettiler; bu bağlantının bir parçası olarak, SocGholish tarafından dağıtılan Raspberry Robin solucanı gözlemlendi.

Hackread.com ile paylaşılan blog yazısında Trustwave'de siber tehdit istihbarat analisti olan Cris Tomboc, bunun SocGholish'in güvenilir web altyapısını "bir enfeksiyon vektörüne" dönüştürerek geniş kapsamlı etkisini kanıtladığını açıklıyor.

Raporda, operatörlerin kurbanları konumları veya sistem ayarları gibi faktörlere göre filtrelemek için Keitaro ve Parrot TDS gibi Trafik Dağıtım Sistemlerini (TDS) kullandığı ve "sadece hedeflenen hedeflerin yüke maruz kalmasını" sağladığı belirtiliyor.

Bir sistem enfekte olduğunda, kötü amaçlı yazılım çok çeşitli ardışık tehditler oluşturabilir. Yükler arasında LockBit ve RansomHub gibi birden fazla fidye yazılımı ailesi, AsyncRAT gibi Uzaktan Erişim Truva Atları (RAT'ler) ve çeşitli veri çalma programları yer alır.

Bu önemli bir bulgudur, çünkü SocGholish'in çeşitli hedeflere uyum sağlama ve meşru web sitelerini büyük ölçekli kötü amaçlı yazılım dağıtım platformlarına dönüştürme yeteneği, her yerdeki kuruluşlar için kritik bir tehdit olarak statüsünü güçlendirdiğini ortaya koymaktadır.