当局は木曜日、Evil Corpおよびその他のサイバー犯罪グループがデータ窃取や各種ネットワークへの不正侵入に使用していたボットネット・マルウェアフレームワークを摘発し、インフラを押収しました。
今回の国際的な連携作戦が標的としたのは、多段階マルウェア「SocGholish」です。このマルウェアは2017年以降、ウェブサイトを侵害し、ユーザーをトラフィック配信システム(TDS)へリダイレクトした上で、ネットワーク内にマルウェアを送り込んできました。
「このマルウェアは被害者のコンピューターに初期の足がかりを築き、ボットネットを形成します。その後、脅威アクターによってランサムウェアキャンペーンやスパイ活動に活用されます」と、FBIのサイバー部門は声明の中で述べています。
米国、カナダ、ドイツ、オランダおよびEuropolの当局者と、サイバーセキュリティ企業・研究者が連携し、106台のサーバーを閉鎖するとともに、マルウェアに感染していた約1万5,000件のサイトを修復しました。また、ボットネットを無効化し、被害者への通知も行いました。
SocGholishに感染したサイトは主にWordPressでホスティングされており、レストランや自動車修理店など日常生活に密着したサービスを提供するサイトが広範囲にわたって被害を受けていたと、オランダ国家警察は説明しています。
「FakeUpdates」とも呼ばれるこのボットネットは、ロシアのサイバー犯罪グループ Evil Corp と関連しています。また、今回の摘発作戦に参加したInfobloxによると、DoppelPaymer、WastedLocker、Hades Ransomware、LockBit、RansomHubなど複数のランサムウェア亜種への初期アクセス手段としても機能していました。
同じく今回の摘発に参加したProofpointは、Evil Corpを現在活動中の最も著名なサイバー犯罪グループの一つと位置づけ、ウェブサイトを侵害してTDSを使いユーザーをマルウェアへ誘導するという脅威手法の「元祖」と評しています。
今回の摘発を受け、FBIはサイバー犯罪者がTDSを悪用して被害者のネットワークへ侵入し、ランサムウェア攻撃や金融詐欺を行う手口について公式の注意喚起を発表しました。
当局によると、サイバー犯罪者はファイアウォールを回避し、活動を隠蔽し、標的を絞り込むためにトラフィックをリダイレクトしています。その上で、フィッシングページへの誘導による認証情報の窃取、金融詐欺の実行、ネットワークへの不正アクセス、追加マルウェアの配布、そして他のサイバー犯罪者へのアクセス販売などを行っているとしています。
今回の法執行活動は、2024年から展開されているサイバー犯罪を標的とした多国間作戦「Operation Endgame」の一環です。FBIが主導する部分は、サイバー犯罪者およびその詐欺行為を支えるインフラ・金融ネットワークを標的とした継続的な取り組み「Operation Riptide」として実施されました。
翻訳元: https://cyberscoop.com/socgholish-malware-botnet-takedown-evilcorp/
