Международная правоохранительная операция Endgame привела к масштабному сбою в работе фреймворка SocGholish, одного из самых живучих инструментов для заражения устройств через поддельные обновления браузеров. В рамках скоординированных действий полицейские органы и партнёры из частного сектора вывели из строя 106 серверов и доменов, а также провели чистку 14 971 скомпрометированного сайта на платформе WordPress. Именно эти сайты служили основным источником трафика для распространения вредоносной нагрузки.
Описание
Операция Endgame была впервые анонсирована в 2024 году как долгосрочная кампания по подрыву инфраструктуры, обеспечивающей киберпреступность в промышленных масштабах. Её ключевая особенность - фокус на ранних этапах цепочки вторжения. Вместо преследования только тех, кто развёртывает программы-вымогатели, Endgame нацелена на сервисы, делающие такие атаки возможными: дропперы, загрузчики, ботнеты, системы распределения трафика и вредоносное ПО для получения доступа. Предыдущие "сезоны" операции затрагивали такие семейства, как IcedID, Smokeloader, Pikabot, Bumblebee, QakBot и другие.
SocGholish представляет собой один из старейших фреймворков для внедрения веб-инъекций. Впервые он был замечен в 2017 году и задокументирован в 2018-м. Механизм атаки заключается в том, что скомпрометированные сайты показывают посетителям поддельные уведомления о необходимости обновить браузер, а затем заставляют скачать вредоносный JScript-файл. Оператором этого фреймворка выступает группировка TA569, также известная как Mustard Tempest или UNC1543. TA569 действует как брокер первоначального доступа - основная цель заключается в компрометации устройств внутри корпоративных сетей с последующей продажей полученного доступа другим злоумышленникам, в том числе для развёртывания программ-вымогателей.
Среди группировок, активно использовавших SocGholish, выделяется EvilCorp - один из наиболее известных русскоязычных киберпреступных конгломератов. Согласно отчёту Mandiant за июнь 2022 года, EvilCorp почти исключительно получала первоначальный доступ именно через TA569. Таким образом, удар по SocGholish напрямую затронул EvilCorp и её партнёров.
Фреймворк SocGholish состоит из четырёх этапов: привлечение трафика, фильтрация посетителей, отображение поддельного обновления и выполнение полезной нагрузки на устройстве жертвы. На первом этапе TA569 компрометирует огромное количество сайтов - по оценкам исследователей, за всю историю операции под контролем могло находиться до миллиона ресурсов. Кроме того, группировка принимает трафик от аффилированных партнёров, которые за вознаграждение перенаправляют потенциальных жертв через внедрённые ссылки. Эти ссылки называют инфраструктурой первого уровня. На втором этапе сценарий сбора отпечатков фильтрует ботов, исследователей и устройства, не соответствующие целевым критериям. Только после успешного прохождения всех проверок пользователю показывается поддельное уведомление об обновлении.
Важно, что на протяжении всего процесса жертва не покидает изначально посещённый сайт. Поддельный шаблон загружается прямо на ту же страницу, принудительно удаляя оригинальное содержимое. Это делает обман более правдоподобным. Шаблоны адаптируются под все основные браузеры. После нажатия кнопки "Загрузить" с сервера первого уровня скачивается заранее сформированный JScript-файл. Код этого файла после деобфускации состоит всего из шести строк - он создаёт ActiveXObject, отправляет закодированную строку на командный сервер и выполняет полученный ответ как новую функцию.
Инфраструктура второго уровня, с которой связывается JScript-стеджер, меняется с высокой частотой - от ежедневной до еженедельной. Для маскировки этих доменов используется техника domain shadowing: злоумышленники получают доступ к учётной записи DNS-провайдера легитимного домена и создают под ним вредоносные поддомены. Такие поддомены наследуют репутацию родительского домена, что затрудняет их обнаружение.
Как показали данные телеметрии Infoblox, за первые пять месяцев 2026 года более половины корпоративных сетей клиентов (около 55%) сталкивались с попытками обращения к инфраструктуре первого уровня SocGholish. При этом лишь небольшое количество этих запросов привело к выполнению полезной нагрузки на конечных устройствах. Однако даже один успешный запуск в корпоративной сети может стать началом полноценной утечки данных или атаки с использованием программ-вымогателей. Среди пострадавших организаций, где был зафиксирован контакт с инфраструктурой второго уровня, оказались представители государственного сектора, гостиничного бизнеса и объектов критической инфраструктуры.
Распределение запросов по дням недели демонстрирует чёткую закономерность: активность резко возрастает в начале рабочей недели, остаётся высокой в будние дни и падает почти до нуля в выходные. Это объясняется тем, что сотрудники в офисе чаще посещают скомпрометированные сайты. По отраслевому признаку угроза затронула все сектора, однако наибольшая концентрация наблюдается в правительственных учреждениях, образовании, банковском деле, здравоохранении и сфере услуг.
Операция Endgame, по оценкам экспертов, нанесла серьёзный удар по репутации TA569 как надёжного поставщика первоначального доступа. В ближайшие недели ожидается снижение активности SocGholish. Однако ключевой вопрос заключается в том, смогут ли злоумышленники адаптироваться: попытаются ли они восстановить экосистему, перейти на альтернативную инфраструктуру или разработать новые модели доставки. Для специалистов по защите информации послеоперационный период станет особенно важным для наблюдения за поведением как самого TA569, так и его аффилированных партнёров, включая системы распределения трафика вроде TA2726 и ParrotTDS.
Индикаторы компрометации
Domains
- api-app.uppercrafteroom.com
- app-front.anmaradigital.com
- billing.roofnrack.us
- content.garretttrails.org
- devel.asurans.com
- pa-portal.benningtonspringsmhp.com
- platform.exathomeswebuyarizona.com
- promo.summat10n.org
- samples.addisgraphix.com
- shop.steadycompanion.com
- storehouse.beautysupplysalonllc.com
- trademark.iglesiaelarca.com