ロシアを拠点とするサイバー犯罪集団Evil Corpに関連するマルウェアネットワークが、国際的な法執行作戦によって壊滅的な打撃を受けました。100台以上のサーバーが停止され、マルウェアの拡散に利用されていた約1万5,000件の侵害サイトが浄化されています。
オランダ、カナダ、米国、ドイツの当局は木曜日、ドメイン名を差し押さえ、正規サイトへの訪問者に感染させるために使われていたサーバーを停止することで、SocGholishボットネットの中核部分を解体したと発表しました。被害を受けたサイトには、レストランや自動車修理店といった中小企業のウェブサイトも含まれています。
オランダ警察はまた、感染した数千件のWordPressウェブサイトからマルウェアとバックドアを除去し、サイトオーナーに侵害の事実を通知したと述べています。
SocGholishはFakeUpdatesとも呼ばれ、2017年から活動を続けています。正規サイト上に偽のブラウザやソフトウェアのアップデート通知を表示することで感染を広げる手口が特徴です。一度インストールされると、攻撃者はさらなる悪意あるツールを展開できるようになります。
「このマルウェアは被害者のコンピュータに最初の足がかりを築き、ボットネットとして集積されます。そのボットネットは脅威アクターによって、ランサムウェアキャンペーンやスパイ活動などのさらなる標的型攻撃に利用されます」と、FBIのサイバー部門が声明で述べています。
2017年に初めて確認されたSocGholishは、ロシアで最も悪名高いサイバー犯罪集団の一つであるEvil Corpと長年にわたって関連付けられてきました。Evil Corpは、バンキングマルウェア「Dridex」の開発・配布への関与を理由に2019年、米国から制裁を受けました。米当局によると、Dridexは世界全体で1億ドル以上の金銭的損失をもたらしたとされています。
今回の作戦を支援したサイバーセキュリティ企業Infobloxの研究者は、SocGholishがDoppelPaymer、WastedLocker、Hades、LockBit、RansomHubなど複数のランサムウェアグループへの侵入口としても機能してきたと指摘しています。
オランダ国家ハイテク犯罪ユニットのMaikel Rollman氏は、今回の作戦によってサイバー犯罪者が感染コンピュータへアクセスする手段を奪われたと述べ、世界中の個人・企業・組織へのさらなる被害防止とマルウェア拡散の抑制に貢献するものだと語りました。
「これはSocGholishに対するさらなる措置の始まりに過ぎない」と同氏は付け加えました。
翻訳元: https://therecord.media/socgholish-botnet-disrupted
