偽のソフトウェアアップデートを通じてユーザーにマルウェアを配布してきた「SocGholish」が、大きな打撃を受けました。「オペレーション・エンドゲーム」を推進する国際法執行機関の連合が、同グループが使用していた106台のサーバーおよびドメインを停止させ、悪意あるペイロードを配信するために侵害されていた約1万5,000のウェブサイトを浄化しました。
この最新の多国間法執行活動の成果は、本日、オランダ国家警察および作戦の公式ウェブサイトにより発表されました。
SocGholishの感染手口
SocGholishは多くの場合、正規のWordPressサイトを侵害し、高度に難読化されたJavaScriptコードを注入します。
Proofpointの研究者が説明するように、このスクリプトは訪問者のブラウザをプロファイリングし、開発者やサイト管理者でないことを確認した上で、DevToolsが開かれていないかどうかをチェックし、その訪問者が過去に同様の誘引ページを閲覧していないことを検証します。また、自然なマウスの動きが検出されるまで待機してから動作する仕組みになっています。
訪問者がこれらすべてのチェックを通過して初めて、スクリプトはページ全体を偽のブラウザアップデートの画面に置き換えます。被害者がそのファイルをダウンロードして実行すると、偽装されたJavaScriptのペイロードが攻撃者の管理するインフラに密かに接続し、インフォスティーラーやリモートアクセスツールといったセカンドステージペイロードを静かに展開します。
SocGholishの偽アップデート誘引ページの典型例(出典:Proofpoint)
背後にある脅威グループ
SocGholishの脅威は2017年から存在しており、そのウェブインジェクト活動はTA569によって運営されています。TA569は、ロシアのサイバー犯罪グループ「Evil Corp」と関連しています。
「このグループは以前、ZeusおよびDridexマルウェアに関与しており、複数の大規模なランサムウェア攻撃およびマネーロンダリング活動とも関連しています」と、オランダ警察は述べています。
「TA569が運営するSocGholishは、過去9年間にわたり、世界中の企業組織に対して重大な脅威をもたらしてきました」と、Infobloxの脅威インテリジェンスチームは伝えています。
「自社の分析によると、データセット内の顧客ネットワークの約55%が、5か月間にわたってSocGholishのインフラへのアクセスを試みていました。そうした試みの大多数はデバイスの実際の侵害には至りませんでしたが、SocGholishペイロードがデバイス上で実行され、影響を受けた可能性のある顧客ネットワークも少数ながら確認されました。」
同チームは、今回の法執行活動によってSocGholishの活動が減少すると見ていますが、その効果が持続するかどうかは今後の展開次第としています。
「今後の焦点は、脅威アクターがどれほど迅速に適応できるかという点です。既存のエコシステムの再構築を試みるのか、代替インフラへの移行を選ぶのか、あるいは新たなマルウェア配布モデルへの転換を図るのか――その行方が注目されます」とコメントしています。
WordPressサイト管理者へのアドバイス
Infobloxによると、TA569は通常、自らウェブサイトを侵害しますが、アフィリエイトからのトラフィックも受け入れています。「セキュリティ研究コミュニティでは、彼らはその活動期間中に100万ものサイトを掌握していた可能性があると見られています」と、研究者たちは指摘しています。
今回のオペレーション・エンドゲームに関連する最新の取り組みには、侵害されたWordPressサイトの管理者への通知と、サイトの浄化およびセキュリティ強化の支援が含まれています。
WordPressサイト管理者には、CMSおよびプラグインを常に最新の状態に保つこと、強力なパスワードの使用と管理者アカウントへの多要素認証の有効化、そして身に覚えのない追加WordPressアカウントが見つかった場合の即時削除が強く推奨されています。
翻訳元: https://www.helpnetsecurity.com/2026/06/18/law-enforcement-socgholish-operation-endgame/
