Strafverfolgungsbehörden der Niederlande, Kanadas, Deutschlands und der USA haben eine koordinierte Operation durchgeführt, um die Infrastruktur von SocGholish (auch bekannt als FakeUpdates) zu zerschlagen – einem der größten Frameworks zur Auslieferung von Malware. In der Folge wurden 106 Server abgeschaltet und 14.971 infizierte Websites auf Basis von WordPress von Schadcode bereinigt. Nach Angaben von Infoblox versuchten im Jahr 2026 rund 55% der Cloud-Kunden des Unternehmens, auf die SocGholish-Infrastruktur zuzugreifen, was das Ausmaß der Bedrohung für Organisationen praktisch aller Branchen unterstreicht. Betreibern von WordPress-Websites wird empfohlen, die CMS-Installation umgehend zu aktualisieren, Zugangsdaten zu ändern und verdächtige Konten zu löschen.
Was ist passiert: Chronologie und Umfang der Operation
Die Operation wurde im Rahmen der Operation Endgame durchgeführt – einer internationalen Initiative zur Bekämpfung von Botnets und der damit verbundenen kriminellen Infrastruktur, die 2024 gestartet wurde. Nach Angaben von Meikel Rollman von der Nationalen Einheit für die Bekämpfung der Hightech-Kriminalität der Niederlande haben die Maßnahmen Cyberkriminelle vom Zugriff auf kompromittierte Systeme abgeschnitten und das Risiko verringert, dass diese Systeme für Angriffe auf kritische Infrastrukturen genutzt werden. Vertreter der Strafverfolgungsbehörden betonten, dass dies «der Beginn weiterer Maßnahmen gegen SocGholish» sei.
Die Betreiber der betroffenen Websites erhielten Benachrichtigungen mit Empfehlungen, das Content-Management-System zu aktualisieren, Passwörter zu ändern und nach verdächtigen Benutzerkonten zu suchen.
Technische Anatomie von SocGholish
SocGholish ist ein mehrstufiges Framework in JavaScript, das nach Angaben von Forschern seit 2017 aktiv ist. Es verwandelt kompromittierte Websites in Plattformen zur Auslieferung von Malware mittels drive-by download. Laut der Beschreibung von Infoblox arbeitet das Framework in vier Phasen: Generierung von Traffic, Filterung des Traffics, Anzeige gefälschter Updates und Ausführung von Implantaten auf dem Gerät des Opfers.
Der wichtigste Infektionsvektor sind gefälschte Benachrichtigungen über Updates für die Browser Google Chrome, Mozilla Firefox und andere populäre Software. Besucher einer kompromittierten Website sehen ein überzeugend wirkendes Fenster mit dem Angebot, ein Update zu installieren, laden jedoch stattdessen einen bösartigen JavaScript-Loader herunter.
Nach Angaben der Forscher erfolgt die Infektion von Websites auf mehrere Arten:
- Direkte Injektion bösartigen JavaScript-Codes in die Seite der Website
- Verwendung einer zwischengeschalteten JavaScript-Datei, die die eigentliche Injektion nachlädt
- Domain Shadowing – eine Technik, bei der Angreifer Zugriff auf den DNS-Provider oder das Registrar-Panel einer legitimen Domain erhalten und versteckte Subdomains erstellen, die auf die bösartige Infrastruktur verweisen
Laut Shadowserver Foundation ermöglicht Domain Shadowing es Angreifern, auf der Reputation legitimer Domains zu „parasitieren“, indem sie Subdomains mit typischen Hostnamen erstellen, die in die legitime DNS-Infrastruktur eingebettet sind und die Erkennung erheblich erschweren.
Bedrohungsökosystem und zugehörige Gruppierungen
Die Betreiber von SocGholish werden von Forschern unter vielen Bezeichnungen verfolgt: TA569, Gold Prelude, Mustard Tempest, Purple Vallhund und UNC1543. Es ist wichtig zu berücksichtigen, dass die Zuordnung der Pseudonyme je nach Anbieter variiert.
SocGholish fungiert als Broker für Erstzugang – das Framework stellt einen Einstiegspunkt bereit, den anschließend verschiedene Gruppen nutzen, um ihre eigenen Werkzeuge zu platzieren. Nach Angaben der Forscher gehören zu den über SocGholish ausgelieferten Bedrohungen unter anderem:
- Ransomware-Familien LockBit und RansomHub
- Loader Gholoader und MintsLoader
- Remote-Access-Tools AsyncRAT, NetSupport RAT und GhostWeaver
- Malware Dridex und Raspberry Robin
Nach den Beobachtungen von Orange Cyberdefense verwendet SocGholish ein mehrschichtiges Liefermodell und arbeitet mit Betreibern von Traffic-Distribution-Systemen (TDS) zusammen, insbesondere mit TA2726. Zu den Affiliates, die Traffic an das Framework verkauft haben sollen, zählen laut Forschern auch Parrot TDS und JunkyTDS. Zur Traffic-Filterung kamen nach Angaben von Infoblox die kommerziellen Plattformen Keitaro und zTDS zum Einsatz – wobei die Nutzung kommerzieller Werkzeuge in einer Angriffskette für sich genommen nicht auf eine Beteiligung ihrer Entwickler hindeutet.
Infizierte Websites werden häufig gleichzeitig von mehreren Gruppen ausgenutzt. Das einem Besucher gezeigte bösartige Verhalten hängt von seiner Geolokation, dem Browsertyp und dem Betriebssystem ab – ein klassisches Schema für eine TDS-Infrastruktur.
Ausmaß der Auswirkungen und Geografie
Nach der Einschätzung von Proofpoint kompromittiert TA569 opportunistisch Websites nahezu aller Branchen – von Non-Profit-Organisationen und Bildungseinrichtungen über medizinische Einrichtungen bis hin zu Anwaltskanzleien und Immobilienagenturen. Websites mit hohem Traffic haben Priorität, da sie mehr Opfer generieren.
Geografisch befand sich der Großteil der infizierten Websites laut Shadowserver in den USA, gefolgt von Deutschland, Frankreich, Indien, Brasilien, Singapur, Italien, Indonesien, Kanada und Vietnam.
Die Telemetrie von Infoblox für die letzten fünf Monate zeigt, dass zu den am stärksten angegriffenen Sektoren öffentliche Verwaltung, Bildung, Banken, Gesundheitswesen, Finanzdienstleistungen, IT-Consulting, Versorgungsunternehmen, Versicherungen und Transport gehören. Das Unternehmen betont, dass SocGholish keine Nischenbedrohung für eine einzelne Branche ist, sondern ein weit verbreitetes Problem darstellt, das sowohl den öffentlichen als auch den privaten Sektor betrifft.
Empfehlungen zum Schutz
Für Betreiber und Administratoren von WordPress-Websites:
- Aktualisieren Sie die CMS-Installation und alle installierten Plugins umgehend auf die aktuellen Versionen
- Ändern Sie alle Zugangsdaten – Administratorpasswörter, FTP/SFTP-Zugänge, API-Schlüssel
- Überprüfen Sie die Benutzerliste – entfernen Sie unbekannte oder verdächtige Konten mit Administratorrechten
- Führen Sie ein Audit der JavaScript-Dateien durch – suchen Sie nach externen Injektionen, unbekannten Skripten und verdächtigen iframes
- Prüfen Sie die DNS-Einträge – stellen Sie sicher, dass keine unautorisierten Subdomains existieren, die auf Domain Shadowing hindeuten könnten
- Aktivieren Sie die Zwei-Faktor-Authentifizierung für das Hosting-Control-Panel und den Domain-Registrar
Für Corporate-Security-Teams:
- Sperren Sie bekannte SocGholish-Domains und IP-Adressen auf DNS- und Proxy-Ebene
- Richten Sie ein Monitoring für auffällige JavaScript-Downloads und gefälschte Browser-Update-Benachrichtigungen ein
- Prüfen Sie DNS-Logs auf Anfragen an verdächtige Subdomains legitimer Ressourcen
Trotz der Abschaltung von 106 Servern und der Bereinigung von fast 15.000 Websites haben die Strafverfolgungsbehörden ausdrücklich darauf hingewiesen, dass dies nur der Anfang der Maßnahmen gegen SocGholish ist. Angesichts des verteilten Modells mit Affiliates und TDS-Betreibern wird die vollständige Neutralisierung des Frameworks langwierige Anstrengungen erfordern. Organisationen, die WordPress nutzen, sollten ihre Websites jetzt anhand der oben beschriebenen Punkte überprüfen, während Corporate-SOC-Teams ihre Erkennungsregeln unter Berücksichtigung der für SocGholish typischen Muster aktualisieren sollten: gefälschte Browser-Updates, mehrstufige JavaScript-Loader und anomale DNS-Einträge von Subdomains.
