国際的な大規模法執行作戦において、当局は2017年から活動を続ける最も執拗なマルウェアフレームワークのひとつであるSocGholishの犯罪インフラに壊滅的な打撃を与えました。106台のサーバーおよび101のドメインを押収し、世界中で約1万5,000件もの感染サイトを修復しました。
この協調的なテイクダウン作戦は、2024年に開始された「オペレーション・エンドゲーム」の一環として実施されたものです。同作戦はランサムウェアおよびサイバー犯罪に対して行われた、史上最大規模の国際的作戦として広く認められています。
オランダ(NHTCU)、カナダ(RCMP)、米国(FBI)、ドイツ(BKA)の各法執行機関が、Europolおよびeurojustの支援のもと共同行動週間を実施しました。サーバーの押収と悪意あるドメイン名の接収により、SocGholishのボットネットインフラに深刻なダメージを与えました。
FakeUpdatesとも呼ばれるSocGholishは、2017年から正規の侵害済みウェブサイトの訪問者を標的にし続けてきた、高度なJavaScriptマルウェアフレームワークです。
攻撃者はハッキングしたWordPressサイトに悪意あるJavaScriptを注入し、訪問者に対して巧妙に偽装したブラウザのアップデート画面を表示させます。
被害者が偽のアップデートファイルをダウンロードして実行すると、マルウェアは攻撃者が制御するインフラへのバックドア接続を確立します。これにより、リモートアクセス型トロイの木馬(RAT)、情報窃取ツール、Cobalt Strikeビーコン、さらには重要インフラを標的としたランサムウェアが展開されます。
WordPressはインターネット上の全ウェブサイトの43%以上で使用されています。約140万件のWordPressサイトのログイン認証情報が流出しており、これらのサイトはマルウェア注入に対して極めて脆弱な状態に置かれています。
当局の発表によると、レストランや自動車修理工場など日常的なサービスを提供するサイトを含む1万4,971件のウェブサイトが実際に感染していたことが確認され、現在はすべて修復済みです。
被害を受けたサイトの管理者には、HaveIBeenPwned、DIVD、Spamhaus、The Shadowserver Foundation、NCSC Netherlandsといった信頼できるパートナープラットフォームを通じて積極的な通知が行われています。また、ログイン認証情報の変更、多要素認証の有効化、不審なユーザーアカウントの全件監査を強く推奨しています。
NHTCUのマイケル・ロールマン氏は次のように述べています。「今回の措置により、サイバー犯罪者が感染したコンピューターシステムへアクセスする手段を奪いました。これにより、世界中の市民・企業・組織のデジタルシステムへのさらなる被害を防ぐことができます。今回はSocGholishに対するさらなる行動の始まりに過ぎません。」
SocGholishは正式にEvil Corpに帰属するとされています。Evil Corpはロシアを拠点とする悪名高いサイバー犯罪組織で、かつてZeusおよびDridexバンキング型トロイの木馬を開発した実績を持ちます。
同グループは北米およびヨーロッパ全域の重要インフラを繰り返し標的にした、大規模なランサムウェアキャンペーンや高度なマネーロンダリング活動との関連が指摘されています。
当局は世界中のすべてのWordPressサイト管理者に対し、今回の情報開示を重大なセキュリティ上の警告として真剣に受け止めるよう呼びかけています。
サイト管理者は直ちにすべてのログイン認証情報を変更し、管理者アカウント全体で多要素認証を有効化し、不審または不正なWordPressユーザーアカウントを削除し、コアのインストール・テーマ・プラグインを常に最新の状態に保つことが求められます。
正規のソフトウェアアップデートは、必ず公式ソースから提供されるものです。緊急対応を求める突然のブラウザポップアップは絶対に信用しないでください。SocGholishの感染連鎖はすべて、日常的なアップデート通知に対するユーザーの信頼を悪用することで成り立っているのです。
翻訳元: https://cyberpress.org/authorities-dismantle-socgholish-malware/
