Sió-Informatika Rendszerház

HÍREK

Operation Endgame: nemzetközi hatóságok számolták fel a SocGholish malware infrastruktúráját

SocGholish malware

Nemzetközi bűnüldöző szervek jelentős csapást mértek a SocGholish malware infrastruktúrájára.

Az Operation Endgame keretében közel 15 000 kompromittált weboldalt tisztítottak meg, és több olyan szervert, domaint, valamint technikai elemet is lekapcsoltak, amelyeket a támadók rosszindulatú programok terjesztésére használtak.

A művelet célja nem csupán egy konkrét malware-kampány megállítása volt, hanem annak a kiberbűnözői ellátási láncnak a megbontása is, amely gyakran zsarolóvírus-támadások előszobájaként működik.

Közel 15 000 fertőzött weboldalt tisztítottak meg

A hatóságok tájékoztatása szerint összesen 14 971 kompromittált weboldalt tisztítottak meg a művelet során.

Az érintett oldalak között számos legitim vállalkozás webhelye szerepelt, például:

  • éttermek,
  • autószervizek,
  • helyi szolgáltatók,
  • kisvállalkozások,
  • egyéb céges weboldalak.

Ezek a weboldalak sok esetben anélkül váltak a támadási infrastruktúra részévé, hogy az üzemeltetők erről tudtak volna.

A támadók a feltört oldalakon hamis szoftverfrissítési értesítéseket jelenítettek meg. A látogatókat arra próbálták rávenni, hogy telepítsenek egy állítólagos böngésző-, médialejátszó- vagy rendszerfrissítést.

A valóságban azonban ezek a frissítések kártevőt telepítettek az áldozatok eszközeire.

106 szervert és domaint kapcsoltak le

A hatóságok emellett 106 szervert és domaint is lefoglaltak vagy lekapcsoltak, amelyek a SocGholish működéséhez kapcsolódtak.

Ezek az infrastruktúraelemek a malware terjesztését, az áldozatok irányítását, valamint a további támadási fázisok előkészítését szolgálták.

A műveletben több ország hatóságai működtek együtt, köztük:

  • Hollandia,
  • Németország,
  • Egyesült Államok,
  • Kanada,
  • valamint több európai partnerország.

A koordinációban az Europol és az Eurojust is szerepet vállalt.

Mi az a SocGholish?

A SocGholish, más néven FakeUpdates, 2017 óta az egyik legismertebb és legkitartóbb malware-terjesztő platform.

A támadás lényege egyszerű, de rendkívül hatékony:

  1. A támadók feltörnek legitim weboldalakat.
  2. A látogatók hamis frissítési üzenetet látnak.
  3. A felhasználó letölti az állítólagos frissítést.
  4. A gépre kártevő kerül.
  5. A támadók kezdeti hozzáférést szereznek a rendszerhez.

Ez a kezdeti hozzáférés később további támadások alapja lehet.

A SocGholish fertőzéseket több esetben zsarolóvírus-kampányokkal is összefüggésbe hozták.

A WordPress kiemelt célpont volt

A SocGholish sikerének egyik fő oka a sérülékeny vagy rosszul védett WordPress oldalak nagy száma.

A WordPress a világ egyik legelterjedtebb tartalomkezelő rendszere, ezért kiemelt célpont a támadók számára.

A hatóságok szerint körülbelül 1,4 millió weboldalhoz kapcsolódó belépési adat szerepelt különböző adatszivárgásokban.

Ha a támadók hozzáférést szereznek egy WordPress oldalhoz, képesek lehetnek:

  • rosszindulatú kódot beszúrni,
  • látogatókat átirányítani,
  • hamis frissítési ablakokat megjeleníteni,
  • hátsó kapukat telepíteni,
  • hónapokon át rejtve maradni.

Kapcsolat az Evil Corp csoporttal

A SocGholish infrastruktúráját több kutatás is kapcsolatba hozta az Evil Corp nevű orosz hátterű kiberbűnözői szervezettel.

Az Evil Corp az elmúlt évtized egyik legismertebb kiberbűnözői csoportja, amelyet többek között az alábbiakkal hoztak összefüggésbe:

  • Dridex banki trójai,
  • Zeus malware család,
  • pénzügyi csalások,
  • zsarolóvírus-kampányok,
  • nagyvállalatok elleni támadások.

A csoport jelentős szereplője annak a kiberbűnözői ökoszisztémának, amely kezdeti hozzáférést, malware-infrastruktúrát és technikai támogatást biztosít további bűnözői műveletekhez.

Az Operation Endgame szerepe

Az Operation Endgame 2024-ben indult, és jelenleg az egyik legnagyobb nemzetközi kezdeményezés a zsarolóvírusokhoz és malware-terjesztő hálózatokhoz kapcsolódó infrastruktúrák felszámolására.

A cél nem csupán egy-egy támadó azonosítása, hanem teljes bűnözői ökoszisztémák megbontása.

A művelet során a hatóságok egyszerre célozzák:

  • malware-terjesztő hálózatokat,
  • botneteket,
  • szervereket,
  • domaineket,
  • tárhelyszolgáltatókat,
  • pénzügyi infrastruktúrát,
  • és támogató szolgáltatásokat.

Ez a megközelítés hatékonyabb lehet, mint az egyes támadók elleni különálló fellépés, mivel a kiberbűnözői működés teljes láncát próbálja gyengíteni.

Fontos volt a köz- és magánszektor együttműködése

A hatóságok hangsúlyozták, hogy a sikeres művelethez elengedhetetlen volt a kiberbiztonsági cégek és nonprofit szervezetek támogatása.

A sértettek értesítésében és a technikai adatok feldolgozásában többek között az alábbi szervezetek vettek részt:

  • Have I Been Pwned,
  • The Shadowserver Foundation,
  • DIVD,
  • Spamhaus,
  • NoMoreLeaks,
  • CheckJeHack,
  • holland NCSC.

Ezek a szervezetek segítettek az érintett weboldalak, kiszivárgott hitelesítő adatok és fertőzött infrastruktúrák azonosításában.

Mit tegyenek a weboldal-tulajdonosok?

A hatóságok arra kérik a WordPress és más weboldalak üzemeltetőit, hogy haladéktalanul vizsgálják felül biztonsági beállításaikat.

Javasolt lépések:

  • minden adminisztrátori jelszó cseréje;
  • többfaktoros hitelesítés bekapcsolása;
  • ismeretlen felhasználói fiókok törlése;
  • WordPress, sablonok és bővítmények frissítése;
  • biztonsági ellenőrzés futtatása;
  • rosszindulatú módosítások keresése;
  • naplók áttekintése;
  • mentések ellenőrzése.

Fontos, hogy egy megtisztított weboldal újra megfertőződhet, ha az eredeti biztonsági gyengeség továbbra is fennáll.

Hogyan védekezhetnek az internetezők?

A felhasználók számára a legfontosabb tanács: ne telepítsenek szoftverfrissítést véletlenszerű böngészőfelugró ablakból.

Érdemes figyelni az alábbiakra:

  • a böngészőben megjelenő sürgető frissítési üzenetek gyanúsak lehetnek;
  • frissítést mindig hivatalos gyártói oldalról vagy beépített frissítőn keresztül telepítsünk;
  • ne kattintsunk agresszív, sürgető pop-upokra;
  • használjunk naprakész végpontvédelmet;
  • tartsuk frissítve az operációs rendszert és a böngészőt.

A legitim szoftvergyártók általában nem kérik véletlenszerű weboldali felugró ablakokon keresztül frissítések telepítését.

A harc nem ért véget

Bár az Operation Endgame jelentős csapást mért a SocGholish infrastruktúrájára, a hatóságok szerint a művelet nem tekinthető lezártnak.

A lefoglalt szerverek és domainek elemzése tovább folytatódik, és további áldozatok, illetve felelős szereplők azonosítása várható.

A hatóságok szerint a jövőben újabb műveletek is indulhatnak a kapcsolódó kiberbűnözői csoportok ellen.

Összegzés

Az Operation Endgame keretében végrehajtott fellépés jelentős csapást mért a SocGholish malware infrastruktúrájára. A közel 15 000 megtisztított weboldal és a 106 lekapcsolt szerver, illetve domain azt mutatja, hogy a nemzetközi együttműködés képes érdemi károkat okozni a kiberbűnözői ökoszisztémának.

A SocGholish különösen veszélyes, mert gyakran csak az első lépcső egy nagyobb támadási láncban. Az ilyen fertőzések később adatlopáshoz, jogosulatlan hálózati hozzáféréshez vagy zsarolóvírus-támadáshoz vezethetnek.

A művelet egyértelmű üzenete: a malware-terjesztő infrastruktúrák és az azokat kiszolgáló bűnözői hálózatok továbbra is kiemelt célpontjai lesznek a nemzetközi hatósági fellépéseknek.

Keresés

Népszerű bejegyzések

Kategóriák

Arhívum

Kövess minket

Az oldal tartalma nem másolható!