Операция Endgame ударила по TA569 и вредоносной схеме SocGholish

Operation Endgame, масштабная coordinated operation с участием global law enforcement, нанесла серьезный удар по деятельности TA569 — известного cybercrime group, стоящего за распространением SocGholish. По данным отчета, эта группировка на протяжении нескольких лет использовала сложные web-injection techniques, чтобы маскировать malicious downloads под легитимные browser security updates и вынуждать пользователей самостоятельно запускать вредоносный code.

TA569 давно считается одним из ключевых players в landscape of cybercrime: ее цепочки заражения связывали с крупными ransomware operations, включая WastedLocker и LockBit. Это делало группу важным звеном в экосистеме доставки malware, ориентированного на дальнейшее закрепление, кражу доступа и последующее monetization.

Как работала схема SocGholish

Основой операций TA569 были TDS — systems that route traffic based on user attributes. Иными словами, вредоносная инфраструктура определяла, кого именно перенаправлять на malicious payload, а кого — нет. Такой подход помогал злоумышленникам снижать вероятность обнаружения и точнее нацеливать атаку.

На практике группа чаще всего компрометировала legitimate websites, нередко через уязвимости в content management systems, таких как WordPress. После успешного взлома на сайт внедрялся malicious code, который перенаправлял посетителей в controlled malicious environment.

• exploit known vulnerabilities;
• password spraying;
• использование leaked credentials;
• установка backdoors для persistent access.

Таким образом, TA569 не ограничивалась только initial delivery of malware: после компрометации сайта злоумышленники могли сохранить долгосрочный доступ к инфраструктуре и использовать ее для дальнейших атак.

Цепочка заражения: от fake update до C2

Схема SocGholish строилась как многоступенчатая attack chain. После перехода пользователя на compromised site вредоносный script проводил несколько checks, чтобы убедиться, что перед ним именно human, а не bot. После этого страница имитировала запрос на legitimate software update, скрывая реальные намерения до момента, когда жертва нажимала на download link.

Именно этот переход приводил к загрузке GhoLoader. После выполнения GhoLoader устанавливал reverse connection с C2 server, закрепляясь в среде пользователя и открывая путь для дальнейшей активности злоумышленников.

«Сильной стороной TA569 была способность адаптироваться: группа сочетала JavaScript abuse, obfuscation techniques и эксплуатацию web functionality, чтобы обходить detection».

Что сделала Operation Endgame

В ходе недавней зачистки правоохранительные органы, по данным отчета, ликвидировали более 100 servers и 14 971 compromised websites, связанных с операциями TA569. Это существенно осложнило работу группировки и, вероятно, ударило не только по ее технической инфраструктуре, но и по репутации в criminal ecosystem.

Для TA569 последствия могут оказаться долгосрочными:

• снижение возможностей для malware delivery;
• потеря части инфраструктуры для redirect and injection operations;
• рост operational costs;
• ухудшение trust among criminal partners.

Почему угроза не исчезает

Несмотря на серьезный урон, нанесенный Operation Endgame, отчет подчеркивает: сам класс угрозы никуда не делся. Web injection attacks продолжают развиваться, а злоумышленники активно ищут новые способы вовлечения жертв в установку malware.

Отдельно отмечается рост схем вроде ClickFix, которые делают процесс социальной инженерии более интерактивным и убедительным. Такие кампании показывают, что даже если одна группа теряет инфраструктуру, другие actors быстро занимают освободившуюся нишу.

Именно поэтому специалисты рассматривают операцию против TA569 не как завершение истории, а как временное ослабление одного из наиболее заметных звеньев в цепочке web-based malware distribution.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.