Правоохранительные органы Нидерландов, Канады, Германии и США провели скоординированную операцию по ликвидации инфраструктуры SocGholish (также известного как FakeUpdates) — одного из наиболее масштабных фреймворков доставки вредоносного ПО. В результате отключены 106 серверов, а 14 971 заражённый сайт на базе WordPress очищен от вредоносного кода. По данным Infoblox, около 55% облачных клиентов компании в 2026 году пытались обратиться к инфраструктуре SocGholish, что подчёркивает масштаб угрозы для организаций практически всех отраслей. Владельцам WordPress-сайтов рекомендуется немедленно обновить CMS, сменить учётные данные и удалить подозрительные аккаунты.
Что произошло: хронология и масштаб операции
Операция проведена в рамках Operation Endgame — международной инициативы по борьбе с ботнетами и связанной с ними преступной инфраструктурой, запущенной в 2024 году. По словам Майкеля Роллмана из Национального подразделения по борьбе с высокотехнологичной преступностью Нидерландов, действия лишили киберпреступников доступа к заражённым системам и снизили риск использования этих систем для атак на критическую инфраструктуру. Представители правоохранительных органов подчеркнули, что это «начало дальнейших действий против SocGholish».
Владельцам затронутых сайтов направлены уведомления с рекомендациями обновить систему управления контентом, сменить пароли и проверить наличие подозрительных учётных записей.
Техническая анатомия SocGholish
SocGholish — это многоступенчатый фреймворк на JavaScript, активный, по данным исследователей, с 2017 года. Он превращает скомпрометированные веб-сайты в платформы для доставки вредоносного ПО методом drive-by download. По описанию Infoblox, фреймворк работает в четыре этапа: привлечение трафика, фильтрация трафика, демонстрация поддельных обновлений и выполнение имплантов на устройстве жертвы.
Основной вектор заражения — поддельные уведомления об обновлении браузеров Google Chrome, Mozilla Firefox и другого популярного программного обеспечения. Посетитель скомпрометированного сайта видит убедительное окно с предложением установить обновление, а вместо него загружает вредоносный JavaScript-загрузчик.
Заражение сайтов, как отмечают исследователи, происходит несколькими способами:
- Прямая инъекция вредоносного JavaScript-кода в страницу сайта
- Использование промежуточного JavaScript-файла, который подгружает основную инъекцию
- Domain Shadowing — техника, при которой злоумышленники получают доступ к DNS-провайдеру или панели регистратора легитимного домена и создают скрытые поддомены, указывающие на вредоносную инфраструктуру
По данным Shadowserver Foundation, техника Domain Shadowing позволяет злоумышленникам «паразитировать» на репутации легитимных доменов, создавая поддомены с типичными именами хостов, которые сливаются с легитимной DNS-инфраструктурой и значительно затрудняют обнаружение.
Экосистема угроз и связанные группировки
Операторы SocGholish отслеживаются исследователями под множеством обозначений: TA569, Gold Prelude, Mustard Tempest, Purple Vallhund и UNC1543. Важно учитывать, что маппинг псевдонимов варьируется в зависимости от вендора.
SocGholish функционирует как брокер первоначального доступа — фреймворк обеспечивает точку входа, которую затем используют различные группировки для развёртывания собственных инструментов. По данным исследователей, среди угроз, доставляемых через SocGholish, отмечены:
- Программы-вымогатели LockBit и RansomHub
- Загрузчики Gholoader и MintsLoader
- Средства удалённого доступа AsyncRAT, NetSupport RAT и GhostWeaver
- Вредоносное ПО Dridex и Raspberry Robin
По наблюдениям Orange Cyberdefense, SocGholish использует многоуровневую модель доставки и сотрудничает с операторами систем распределения трафика (TDS), в частности с TA2726. Среди аффилиатов, продававших трафик фреймворку, исследователи также называют Parrot TDS и JunkyTDS. Для фильтрации трафика, по данным Infoblox, применялись коммерческие платформы Keitaro и zTDS — при этом использование коммерческих инструментов в цепочке атак само по себе не означает причастность их разработчиков.
Заражённые сайты нередко эксплуатируются несколькими группировками одновременно. Вредоносное поведение, демонстрируемое посетителю, определяется его геолокацией, типом браузера и операционной системой — классическая схема для TDS-инфраструктуры.
Масштаб воздействия и география
По оценке Proofpoint, TA569 оппортунистически компрометирует сайты практически во всех отраслях — от некоммерческих организаций и учебных заведений до медицинских учреждений, юридических фирм и агентств недвижимости. Сайты с высоким трафиком приоритетны, поскольку генерируют больше жертв.
Географически большинство заражённых сайтов, по данным Shadowserver, располагались в США, за которыми следовали Германия, Франция, Индия, Бразилия, Сингапур, Италия, Индонезия, Канада и Вьетнам.
Телеметрия Infoblox за последние пять месяцев показывает, что наиболее атакуемые секторы включают государственное управление, образование, банковский сектор, здравоохранение, финансовые услуги, ИТ-консалтинг, коммунальные услуги, страхование и транспорт. Компания подчёркивает, что SocGholish — не нишевая угроза для одной вертикали, а широко распространённая проблема, затрагивающая как государственный, так и коммерческий сектор.
Рекомендации по защите
Для владельцев и администраторов WordPress-сайтов:
- Обновите CMS и все установленные плагины до актуальных версий немедленно
- Смените все учётные данные — пароли администраторов, FTP/SFTP-доступы, ключи API
- Проверьте список пользователей — удалите неизвестные или подозрительные аккаунты с правами администратора
- Проведите аудит JavaScript-файлов — ищите внешние инъекции, незнакомые скрипты и подозрительные iframe
- Проверьте DNS-записи — убедитесь в отсутствии неавторизованных поддоменов, которые могут указывать на Domain Shadowing
- Включите двухфакторную аутентификацию для панели управления хостингом и регистратора домена
Для корпоративных служб безопасности:
- Блокируйте известные домены и IP-адреса SocGholish на уровне DNS и прокси-серверов
- Настройте мониторинг аномальных JavaScript-загрузок и поддельных уведомлений об обновлениях браузеров
- Проверьте журналы DNS на наличие обращений к подозрительным поддоменам легитимных ресурсов
Несмотря на ликвидацию 106 серверов и очистку почти 15 000 сайтов, правоохранительные органы прямо указали, что это лишь начало действий против SocGholish. Учитывая распределённую модель с аффилиатами и TDS-операторами, полная нейтрализация фреймворка потребует продолжительных усилий. Организациям, использующим WordPress, следует прямо сейчас провести аудит своих сайтов по описанным выше пунктам, а корпоративным SOC-командам — обновить правила детектирования с учётом характерных для SocGholish паттернов: поддельные обновления браузеров, многоуровневые JavaScript-загрузчики и аномальные DNS-записи поддоменов.
