Правоохоронні органи Нідерландів, Канади, Німеччини та США провели скоординовану операцію із знешкодження інфраструктури SocGholish (також відомого як FakeUpdates) — одного з наймасштабніших фреймворків доставки зловмисного програмного забезпечення. У результаті відключено 106 серверів, а 14 971 заражений сайт на базі WordPress очищено від шкідливого коду. За даними Infoblox, близько 55% хмарних клієнтів компанії у 2026 році намагалися звернутися до інфраструктури SocGholish, що підкреслює масштаб загрози для організацій практично всіх галузей. Власникам WordPress-сайтів рекомендовано негайно оновити CMS, змінити облікові дані й видалити підозрілі акаунти.
Що відбулося: хронологія та масштаб операції
Операцію проведено в межах Operation Endgame — міжнародної ініціативи з боротьби з ботнетами та пов’язаною з ними злочинною інфраструктурою, запущеної у 2024 році. За словами Майкеля Роллмана з Національного підрозділу з боротьби з високотехнологічною злочинністю Нідерландів, дії позбавили кіберзлочинців доступу до заражених систем і зменшили ризик використання цих систем для атак на критичну інфраструктуру. Представники правоохоронних органів наголосили, що це «початок подальших дій проти SocGholish».
Власникам уражених сайтів надіслано сповіщення з рекомендаціями оновити систему керування контентом, змінити паролі та перевірити наявність підозрілих облікових записів.
Технічна анатомія SocGholish
SocGholish — це багаторівневий фреймворк на JavaScript, активний, за даними дослідників, з 2017 року. Він перетворює скомпрометовані вебсайти на платформи для доставки зловмисного ПЗ методом drive-by download. За описом Infoblox, фреймворк працює у чотири етапи: залучення трафіку, фільтрація трафіку, показ підроблених оновлень і виконання імплантів на пристрої жертви.
Основний вектор зараження — фальшиві сповіщення про оновлення браузерів Google Chrome, Mozilla Firefox та іншого популярного програмного забезпечення. Відвідувач скомпрометованого сайту бачить переконливе вікно з пропозицією встановити оновлення, а натомість завантажує зловмисний JavaScript-завантажувач.
Зараження сайтів, як зазначають дослідники, відбувається кількома способами:
- Пряма інʼєкція зловмисного JavaScript-коду у сторінку сайту
- Використання проміжного JavaScript-файла, який підвантажує основну інʼєкцію
- Domain Shadowing — техніка, за якої зловмисники отримують доступ до DNS-провайдера або панелі реєстратора легітимного домену й створюють приховані піддомени, що вказують на зловмисну інфраструктуру
За даними Shadowserver Foundation, техніка Domain Shadowing дозволяє зловмисникам «паразитувати» на репутації легітимних доменів, створюючи піддомени з типовими іменами хостів, які зливаються з легітимною DNS-інфраструктурою та суттєво ускладнюють виявлення.
Екосистема загроз і пов’язані угруповання
Операторів SocGholish дослідники відстежують під багатьма позначеннями: TA569, Gold Prelude, Mustard Tempest, Purple Vallhund і UNC1543. Варто враховувати, що відповідність псевдонімів змінюється залежно від вендора.
SocGholish функціонує як брокер початкового доступу — фреймворк забезпечує точку входу, яку потім використовують різні угруповання для розгортання власних інструментів. За даними дослідників, серед загроз, що доставляються через SocGholish, відзначають:
- програми-вимагачі LockBit і RansomHub
- завантажувачі Gholoader і MintsLoader
- засоби віддаленого доступу AsyncRAT, NetSupport RAT і GhostWeaver
- зловмисне ПЗ Dridex і Raspberry Robin
За спостереженнями Orange Cyberdefense, SocGholish використовує багаторівневу модель доставки та співпрацює з операторами систем розподілу трафіку (TDS), зокрема з TA2726. Серед афілійованих партнерів, які продавали трафік фреймворку, дослідники також називають Parrot TDS і JunkyTDS. Для фільтрації трафіку, за даними Infoblox, використовувалися комерційні платформи Keitaro та zTDS — водночас використання комерційних інструментів у ланцюжку атак саме по собі не свідчить про причетність їхніх розробників.
Заражені сайти нерідко експлуатуються кількома угрупованнями одночасно. Шкідлива поведінка, яку демонструють відвідувачу, визначається його геолокацією, типом браузера та операційною системою — класична схема для TDS-інфраструктури.
Масштаб впливу та географія
За оцінкою Proofpoint, TA569 опортуністично компрометує сайти практично в усіх галузях — від неприбуткових організацій та навчальних закладів до медичних установ, юридичних фірм і агентств нерухомості. Сайти з високим трафіком мають пріоритет, оскільки генерують більше жертв.
З географічного погляду більшість заражених сайтів, за даними Shadowserver, розташовувалися у США, за якими йшли Німеччина, Франція, Індія, Бразилія, Сингапур, Італія, Індонезія, Канада та Вʼєтнам.
Телеметрія Infoblox за останні пʼять місяців показує, що найбільш атаковані сектори включають державне управління, освіту, банківський сектор, охорону здоровʼя, фінансові послуги, IT-консалтинг, комунальні послуги, страхування та транспорт. Компанія наголошує, що SocGholish — не нішова загроза для однієї вертикалі, а широко поширена проблема, яка зачіпає як державний, так і комерційний сектори.
Рекомендації щодо захисту
Для власників і адміністраторів WordPress-сайтів:
- Оновіть CMS і всі встановлені плагіни до актуальних версій негайно
- Змініть усі облікові дані — паролі адміністраторів, доступи FTP/SFTP, ключі API
- Перевірте список користувачів — видаліть невідомі або підозрілі акаунти з правами адміністратора
- Проведіть аудит JavaScript-файлів — шукайте зовнішні інʼєкції, незнайомі скрипти та підозрілі iframe
- Перевірте DNS-записи — переконайтеся у відсутності неавторизованих піддоменів, які можуть вказувати на Domain Shadowing
- Увімкніть двофакторну автентифікацію для панелі керування хостингом і реєстратором домену
Для корпоративних служб безпеки:
- Блокуйте відомі домени й IP-адреси SocGholish на рівні DNS і проксі-серверів
- Налаштуйте моніторинг аномальних JavaScript-завантажень і фальшивих сповіщень про оновлення браузерів
- Перевірте журнали DNS на наявність звернень до підозрілих піддоменів легітимних ресурсів
Попри знешкодження 106 серверів і очищення майже 15 000 сайтів, правоохоронні органи прямо зазначили, що це лише початок дій проти SocGholish. З огляду на розподілену модель з афілійованими партнерами та TDS-операторами, повна нейтралізація фреймворку потребуватиме тривалих зусиль. Організаціям, що використовують WordPress, варто вже зараз провести аудит своїх сайтів за наведеними вище пунктами, а корпоративним SOC-командам — оновити правила детектування з урахуванням характерних для SocGholish патернів: фальшиві оновлення браузерів, багаторівневі JavaScript-завантажувачі й аномальні DNS-записи піддоменів.
