СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
26.04.2025
#Dev#ИБ#Инфра

Новая угроза: кибератака с использованием SocGholish и RansomHub

Новая угроза: кибератака с использованием SocGholish и RansomHub

Источник: www.esentire.com

В начале марта 2025 года была зафиксирована кибератака, характерная для современных угроз в сфере кибербезопасности. Вредоносное ПО SocGholish, также известное как FakeUpdates, стало ключевым элементом в этой атаке. Разработанное для сбора системной информации и развертывания бэкдора на основе Python, это ПО связано с группой программ-вымогателей RansomHub, которая появилась на свет в 2024 году и активно использует платформу Dark Web RAMP.

Механизм атаки

Вектор атаки был инициирован через взломанный сайт WordPress butterflywonderland.com. Жертва, посетив данный ресурс, была подталкнута к загрузке «Update.zip», содержащего файл скрипта на SocGholish — Update.js. Этот скрипт выполнил POST-запрос на сервер SocGholish command and control (C2): hxxps://exclusive.nobogoods.com/UpdateStatus. В результате произошло:

  • Сбор важной системной информации, включая домен жертвы, имя пользователя и архитектуру процессора.
  • Передача собранных данных обратно на C2 с помощью HTTP-запросов, закодированных по URL.
  • Использование законных утилит Windows, таких как net.exe и systeminfo, для получения данных о сетевом подключении и других параметрах системы.
  • Использование команд PowerShell для извлечения «данных для входа» из Microsoft Edge и Google Chrome.

Бэкдор и его функционал

После завершения сбора информации, SocGholish выполнил POST-запрос для извлечения бэкдора Python, известного как fcrapvim.pyz, с задержкой в 6,5 минут. Этот временной интервал может говорить о методичности подхода к выбору цели. Бэкдор, обладающий сложной архитектурой и зависимостями, включает программу расшифровки, которая может выполнять команды, полученные с сервера хакера с помощью функции exec().

Атака и её последствия

Бэкдор предоставляет хакерам возможность осуществлять прокси-соединения с внутренними и внешними сетями, что облегчает разведку и боковое перемещение внутри скомпрометированных систем. Устойчивость этого бэкдора зависит от запланированной задачи, которая потенциально запускает его автоматически. Однако в нем отсутствует конкретный аргумент командной строки для запуска сценария.

Этот инцидент подчеркивает:

  • Сложную методологию атак, использующую социальную инженерию.
  • Необходимость в сборе системных данных для разведывательных целей.
  • Расширенные возможности бэкдора, что увеличивает риск для организаций.

Учитывая данные угрозы, настоятельно рекомендуется внедрять усиленные меры безопасности для эффективного обнаружения и устранения подобных атак в будущем.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: