国際的な法執行機関が、SocGholishマルウェアのインフラを対象とした世界規模の協調作戦「オペレーション・エンドゲーム」の一環として、106台のサーバーと101のドメインの押収に成功しました。この成果は、作戦における重要なマイルストーンとなっています。
2026年6月18日にハーグから発表されたこの作戦は、悪名高いロシア系グループEvil Corpを含むサイバー犯罪グループが悪用していた重要な感染チェーンを標的としたものです。
オランダ国家ハイテク犯罪ユニット(NHTCU)、FBI、ドイツのBKA、カナダ王立騎馬警察(RCMP)の当局が、ユーロポールとユーロジャストの支援を受けて合同行動週間を実施しました。この作戦によりSocGholishエコシステムの大部分が機能不全に陥り、世界中で14,971件の侵害されたウェブサイトが修復されました。
SocGholishマルウェア摘発作戦
「FakeUpdates」とも呼ばれるSocGholishは、2017年から活動を続ける長期的なマルウェアキャンペーンです。主に侵害されたWordPressウェブサイトを悪用して悪意のあるペイロードを配布しています。
攻撃者は正規のウェブサイトに偽のブラウザアップデートのプロンプトを注入し、ユーザーをマルウェアのダウンロードに誘導してシステムへの初期アクセスを獲得します。この足がかりを利用して、重要インフラへの攻撃に関連したランサムウェアを含む二次ペイロードが展開されることが少なくありません。
全ウェブサイトの43%以上を占めるWordPressの世界的な普及が、この脅威の規模をさらに拡大させています。また、約140万件のWordPressサイトのログイン認証情報が流出しているという最近の調査結果は、感染リスクと広範な脆弱性をあらためて浮き彫りにしています。
今回の作戦において、当局はドメインの接収とサーバーの閉鎖によってコマンド・アンド・コントロール(C2)インフラを解体しただけでなく、感染したウェブサイトの大規模な修復も実施しました。
具体的には、侵害されたWordPressインストールから悪意のあるスクリプトとバックドアを除去し、影響を受けたサイト管理者への通知が行われました。被害者への通知活動は、HaveIBeenPwned、Spamhaus、DIVD、Shadowserver Foundation、オランダの国家サイバーセキュリティセンター(NCSC)など、複数のサイバーセキュリティ組織およびプラットフォームを通じて調整されました。
これらの取り組みは、管理者が速やかに環境を保護し、再感染を防ぐための行動を促すことを目的としています。
NHTCUのMaikel Rollman氏は今回の作戦の広範な意義を強調し、感染システムへのアクセスを遮断することで、企業や市民、重要インフラに対するさらなるサイバー攻撃のリスクが大幅に低減されると述べました。
同氏はまた、今回の摘発がSocGholish関連活動に対する継続的な措置の始まりに過ぎないと指摘しました。また当局は並行して、WordPressサイト管理者に対し、認証情報の更新、多要素認証の有効化、不正アカウントの削除、ソフトウェアの最新状態の維持といった基本的なセキュリティ対策の実施を呼びかけています。
この作戦は、公的法執行機関と民間サイバーセキュリティ機関との協力関係がさらに深化していることも示しています。2024年に開始されたオペレーション・エンドゲームは、米国、英国、フランス、オーストラリアなど複数の国が参加する、サイバー犯罪に対する史上最大規模の国際的取り組みの一つです。
このイニシアチブは、情報共有、インフラの破壊、協調した法的措置を通じて、ランサムウェアおよびマルウェアのエコシステムを解体することに焦点を当てています。
SocGholishとEvil Corpの関連性は、今回の摘発にさらなる重要性を与えています。Evil CorpはZeusやDridexといった主要な金融マルウェアファミリーのほか、大規模なランサムウェア活動やマネーロンダリング活動とも結びついているグループです。
インフラと感染ベクターの両方を標的とすることで、オペレーション・エンドゲームはサイバー犯罪のサプライチェーンを積極的に破壊し、攻撃を拡大させて世界中の侵害されたシステムを収益化する能力を制限するという、戦略的な転換点を示しています。
翻訳元: https://gbhackers.com/authorities-seize-106-servers-and-101-domains/
