В сентябре 2025 года специалисты исследовательского подразделения Arctic Wolf Labs обнаружили целевую атаку на американскую компанию, в которой угроза RomCom впервые использовала инфраструктуру вредоносной кампании SocGholish. Этот случай демонстрирует опасную конвергенцию интересов государственных хакеров и финансово мотивированных киберпреступников.
Описание
Атака началась с классического сценария SocGholish, когда злоумышленники компрометируют легитимные веб-сайты и подменяют обновления браузеров вредоносным JavaScript. Однако примерно через 10 минут после первоначального заражения на систему была доставлена целевая нагрузка RomCom - загрузчик Mythic Agent. Это первый документально подтвержденный случай распространения полезной нагрузки RomCom через инфраструктуру SocGholish.
Жертвой в описанном инциденте стала американская инжиниринговая компания, имевшая деловые связи с украинскими партнерами. Этот выбор цели полностью соответствует установленной модели поведения RomCom, которая целенаправленно атакует организации с любыми, даже самыми опосредованными связями с Украиной, независимо от их географического расположения.
Ключевым звеном в цепочке атаки выступила группа TA569, известная под псевдонимами Gold Prelude и Mustard Tempest. Этот коллектив финансово мотивированных киберпреступников специализируется на распространении SocGholish через скомпрометированные веб-сайты. Техника основана на подмене обновлений популярного программного обеспечения, где пользователям предлагается установить фейковые обновления для Chrome, Firefox или других программ.
Группа TA569 действует по модели Initial Access Broker (IAB), продавая доступ к скомпрометированным системам партнерам по ransomware-атакам. Их клиентская база включает такие известные группы как Evil Corp, Dridex и LockBit. Использование этой модели значительно повышает риски, превращая казалось бы случайные заражения в прелюдию к масштабным инцидентам.
SocGholish представляет собой многофункциональную платформу доставки вредоносного программного обеспечения, эволюционировавшую с 2017 года из незначительной угрозы в инструмент обеспечения первоначального доступа для ransomware-групп. После выполнения на зараженной системе SocGholish передает данные на свою командную инфраструктуру через POST-запросы, открывая возможности для множества злонамеренных действий после эксплуатации.
В наблюдаемом случае техническая цепочка атаки демонстрирует высокий уровень профессионализма. После получения обратной оболочки операторы SocGholish провели цифровую разведку с помощью PowerShell, используя технику избегания обнаружения через вставку лишних символов в команды. Затем был загружен дополнительный полезный модуль VIPERTUNNEL - специализированный бэкдор на Python, обеспечивающий устойчивость.
Загрузчик RomCom, маскирующийся под msedge.dll, включал механизм проверки домена целевой системы. Дешифровка и выполнение шелл-кода происходили только при совпадении с жестко заданным значением, что указывает на целевой характер атаки. Использование фреймворка Mythic C2, хотя изначально созданного для легитимных задач красных команд, подчеркивает тенденцию заимствования хакерами профессиональных инструментов.
Анализ сетевой инфраструктуры выявил семь доменов, связанных с деятельностью RomCom, причем шесть из них были зарегистрированы в один день в июле 2025 года. Все домены использовали различные автономные системы, но демонстрировали одинаковые характеристики ответов серверов.
Временной интервал от заражения через FAKEUPDATE до доставки загрузчика RomCom составил менее 30 минут. Критически важно, что доставка целевой нагрузки происходила только после проверки соответствия домена Active Directory заранее известному значению.
Этот инцидент демонстрирует продолжающуюся эксплуатацию скомпрометированных легитимных веб-сайтов как платформы доставки вредоносного программного обеспечения. Даже единичное взаимодействие с фейковым prompt-ом обновления может предоставить злоумышленникам точку входа, способную эскалировать в полномасштабную компрометацию сети, кражу данных и развертывание ransomware.
Широкомасштабный характер атак SocGholish и скорость прогрессирования от первоначального доступа к заражению делают эту угрозу особенно опасной для организаций по всему миру. Использование TA569 методов социальной инженерии, основанных на воспринимаемой срочности обновления программного обеспечения, означает, что даже подготовленные пользователи могут стать жертвами при посещении казалось бы легитимных ресурсов.
Учитывая сильную связь между заражениями SocGholish и последующими ransomware-инцидентами, организациям во всем мире следует рассматривать любое обнаружение этой угрозы как предвестник высокоэффективного вторжения и уделять первостепенное внимание сдерживанию и оперативному расследованию.
Индикаторы компрометации
IPv4
- 104.238.61.141
- 135.125.255.39
- 157.254.167.144
- 162.248.227.182
- 193.233.205.14
- 194.36.209.127
- 2.59.161.132
- 38.114.101.139
- 88.119.174.128
Domains
- africa.thesmalladventureguide.com
- basilic.info
- carnesmemdesa.com
- email.smashingboss.com
- imprimerie-agp.com
- orlandoscreenenclosure.net
- ozivoice.com
- realty.yourpgcountyliving.com
- solarrayes.com
- srlaptop.com
- virtual.urban-orthodontics.com
MD5
- 9912bb2d82218ba504c28e96816315b3
SHA256
- f7605fc8a1ee5f21aec55da04dbaa95a05db95b5e7851b172a5d30c7fb1da885
