СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
08.05.2025
#ИБ#Инфра

Эволюция угроз: SocGholish и RansomHub в киберкампаниях

Эволюция угроз: SocGholish и RansomHub в киберкампаниях

В начале 2025 года компания Darktrace представила отчет об обнаружении цепочек вторжений, связанных с вредоносной программой-загрузчиком SocGholish, работающей в связке с программами-вымогателями RansomHub. Это открытие подчеркивает изменяющиеся подходы хакеров, которые все чаще используют разрозненные партнерские модели для выполнения специализированных задач.

Динамика вредоносных атак

Совместные действия групп программ-вымогателей приводят к новым угрозам, среди которых особую роль играет SocGholish. Эта вредоносная программа действует как загрузчик, открывающий путь для более глубоких вторжений и развертывания RansomHub.

Атаки на уязвимые системы

SocGholish, использующий свои методы с 2017 года, нацеливается на устаревшие системы управления контентом, такие как WordPress. Злоумышленники эксплуатируют:

  • Уязвимости в плагинах, внедряя вредоносный JavaScript в HTML-код;
  • Перенаправление пользователей на поддельные страницы обновления браузера;
  • Загрузку ZIP-файла с вредоносным загрузчиком.

Следствия атаки

По данным Darktrace, успешные заражения приводят к:

  • Утечке данных;
  • Расширенному вредоносному трафику, перенаправляемому на домены Keitaro TDS для хранения вредоносных скриптов.

Методы взаимодействия с командно-диспетчерскими инфраструктурами

В ходе сетевых атак SocGholish устанавливает соединения по протоколу HTTPS с различными командно-диспетчерскими инфраструктурами (C2), активно используя запутанный JavaScript для инициирования цепочки заражения вредоносным ПО. Тактика, включающая переключение портов, помогает избежать обнаружения, обходя обычную проверку веб-трафика на стандартных портах (443 или 80).

Доступ к учетным данным

Кроме первоначального доступа, Darktrace выявила использование методов доступа к учетным данным, включая файлы WebDAV и SCF через SMB. В частности, зараженные хосты загружали файлы Thumbs.scf, которые выполняют команды в среде Windows. Это позволяло злоумышленникам получать доступ к хэшам аутентификации NTLM, облегчая боковые перемещения по сети и расширяя свои позиции перед внедрением программ-вымогателей.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: