Анализ Trend Research показал, что SocGholish, вредоносная программа, играет ключевую роль в распространении RansomHub ransomware через скомпрометированные веб-сайты с помощью обфусцированных JavaScript-загрузчиков.
Описание
SocGholish использует различные техники уклонения от обнаружения для обхода защиты и внедряется на легитимные веб-сайты, перехватывая трафик пользователей и перенаправляя их на поддельные страницы с ложными уведомлениями об обновлении браузера. Загрузчик SocGholish загружает вредоносные файлы и выполняет вредоносные задачи, такие как сбор конфиденциальной информации или выполнение произвольных команд на зараженных системах.
Water Scylla, комплексная система вторжения, состоит из нескольких этапов, включая взлом веб-сайтов, использование неавторизованных экземпляров Keitaro TDS для доставки SocGholish и развертывание вредоносных задач после взлома, что приводит к появлению RansomHub. SocGholish была широко распространена в США, особенно среди правительственных организаций.
Разворачивание расширенных решений для обнаружения и реагирования, укрепление конечных точек, усиление протоколирования и мониторинга сети, использование служб веб-репутации, защита CMS и веб-приложений, а также вывод из эксплуатации устаревших систем - все это необходимо для защиты предприятий от атак SocGholish и RansomHub.
С начала года наибольшее количество обнаружений SocGholish приходится на США, за ними следуют Япония и Тайвань. Государственные организации стали наиболее пострадавшими, а затем следуют банковские и консалтинговые компании. Это подчеркивает важность повышения осведомленности и принятия надежных мер кибербезопасности для обнаружения и противодействия таким угрозам. SocGholish играет ключевую роль в обеспечении первоначального доступа для RansomHub и имеет широкий спектр возможностей, включая загрузку вредоносных файлов, сбор конфиденциальных данных и выполнение произвольных команд на зараженных системах.
Indicators of Compromise
IPv4
- 104.238.61.144
- 108.181.115.171
- 108.181.182.143
- 128.254.146.183
- 140.82.4.20
- 149.28.125.75
- 155.138.211.27
- 155.138.226.179
- 162.252.173.12
- 166.1.173.65
- 166.88.182.126
- 166.88.182.65
- 172.96.15.103
- 172.96.15.104
- 173.44.141.226
- 185.174.101.240
- 185.174.101.69
- 185.219.220.175
- 185.33.86.15
- 185.72.8.129
- 193.124.24.117
- 193.203.49.90
- 194.135.104.175
- 194.135.104.251
- 194.36.209.227
- 207.174.31.215
- 207.174.31.92
- 207.90.236.231
- 23.133.88.96
- 23.146.184.221
- 23.227.193.172
- 37.1.212.18
- 38.146.28.93
- 38.180.137.141
- 38.180.137.245
- 38.180.195.187
- 38.180.244.209
- 38.180.81.153
- 45.66.248.150
- 45.76.228.18
- 45.82.85.50
- 5.8.63.178
- 82.153.134.38
- 85.209.85.199
- 85.209.85.206
- 88.119.175.65
- 88.119.175.70
- 91.149.239.242
- 92.118.112.143
- 92.118.112.208
Domains
- academy.entrepreneurwealthhub.com
- apiexplorerzone.com
- blacksaltys.com
- blackshelter.org
- blessedwirrow.org
- brickedpack.com
- btctrading.crestlinesolutions.work
- ceo.cowholesaling.com
- certificate.hypnotherapy-training.co.nz
- cluster.buydoorlitesandlouvers.com
- cpanel.buyjlindustriesonline.com
- cpanel.kreativelife.net
- crm.bestintownpro.com
- customer.aaddigitalstrategies.com
- dashboard.nzlifecoaching.com
- digdonger.org
- estate.envisionfonddulac.org
- exchange.tuckx.com
- exclusive.nobogoods.com
- foundedbrounded.org
- gemini.1stpagegold.com
- hub.unlimitedcashflowevent.com
- mail.aestheticfina.com
- nevada.mandros.us
- newgoodfoodmarket.com
- newgreenvibes.com
- newsite.iapmd.org
- order.buyanemostatonline.com
- packedbrick.com
- portal.miaariacademy.com
- preview.jpainting.ca
- programs.edlester.com
- rapiddevapi.com
- rednosehorse.com
- regular.ptbaconsulting.com
- round.micha.ai
- seminary.envisionfonddulac.com
- slot.buyaiphoneonline.com
- smthwentwrong.com
- software.adx-crm.com
- sponsor.sewacanada.org
- static.buyweatherstriponline.com
- subscribe.bigeznola.com
- support.myfirstdealplaybook.com
- trial.buyintercomsonline.com
- webmail.ebuildingsource.com
- whcms.greendreamcannabis.com
- windows.envisionfonddulac.net
- zone.ebuilderssource.com
