マルウェア配布に利用されていた数千の感染ウェブサイトで構成される大規模なサイバー犯罪ネットワークが、国際的な法執行機関の合同摘発によって壊滅しました。
SocGholishマルウェアグループに対するこの措置は、世界規模でランサムウェアとサイバー犯罪に対抗するための継続的な国際警察捜査「Operation Endgame」の最新フェーズとして実施されたものです。
6月18日にオランダ警察が発表したこの作戦では、SocGholishグループが管理する15,000件のウェブサイトの感染解消と、同グループに関連するボットネットの解体が実施されました。
特筆すべきは、SocGholishのボットネットが、政府機関・医療機関・企業など世界中に壊滅的なマルウェア攻撃を仕掛けてきたロシアを拠点とする悪名高いランサムウェア・サイバー犯罪グループ「Evil Corp」に頻繁に利用されていた点です。
SocGholishは、ハッキングや過去に流出した認証情報を悪用して正規のWordPressサイトへのアクセスを取得していました。SocGholishをTA569として追跡しているProofpointの詳細報告によると、これらの侵害されたウェブサイトは訪問者に悪意のあるポップアップを表示する手段として活用されており、「使用中のソフトウェアが古くなっているため更新が必要」とユーザーに通知する内容でした。
ユーザーがその「アップデート」をインストールすると、マルウェアに感染し、さらなる被害者へマルウェアやランサムウェアを配布するSocGholishボットネットに組み込まれてしまいます。
国際的な法執行機関によるSocGholishへの今回の措置では、マルウェアに関連する106台のサーバーおよびドメインの閉鎖と、侵害されたウェブサイトの感染解消が実施されました。
「この措置によって、サイバー犯罪者が感染したコンピューターシステムへアクセスする手段を奪います。これにより、世界中の市民・企業・組織のデジタルシステムへのさらなる被害が防がれ、マルウェアの拡散が抑制されます」と、オランダ国家ハイテク犯罪ユニット(NHCTU)のMaikel Rollman氏は述べています。
「また、これらのシステムが重要インフラやその他の社会的な基幹プロセスへのサイバー攻撃に悪用されるリスクも低下します。これはSocGholishに対するさらなる行動の始まりに過ぎません」と同氏は付け加えました。
続きを読む:ランサムウェアがサイバーセキュリティにおける最も持続的かつコストのかかる脅威であり続ける理由
この協調行動は1週間にわたって実施され、NHCTU、カナダ王立騎馬警察(RCMP)、ドイツ連邦刑事庁(BKA)、米国連邦捜査局(FBI)の専門捜査官と警察官が共同で取り組みました。また、EuropolおよびEurojust、さらにサイバーセキュリティ業界のパートナー各社も支援を提供しました。
「SocGholishはニッチな脅威ではありません。その活動は公的機関や商業環境の深部にまで及んでおり、他のサイバー犯罪者がネットワークへのアクセスを獲得するための道を整えています」と、今回の作戦を支援した業界パートナーの一つであるInfoblox Threat IntelのバイスプレジデントであるRenée Burton博士は述べています。
侵害されたウェブサイトのオーナーには、今回の経緯がすでに通知されており、ログイン認証情報の変更と必要なセキュリティパッチの適用が呼びかけられています。
WordPressサイトのオーナーには、以下のアドバイスも提示されています。
- ログイン認証情報の変更
- 多要素認証の有効化
- 不明な追加WordPressアカウントの削除
- WordPressサイトを常に最新の状態に維持
翻訳元: https://www.infosecurity-magazine.com/news/operation-endgame-socgholish-evil/
