Behörden zerschlagen Teile des SocGholish-Botnetzes und bereinigen fast 15.000 WordPress-Seiten

Zusammenfassung

Strafverfolger aus den Niederlanden, Kanada, den USA und Deutschland haben gemeinsam mit Europol und privaten Partnern Teile der Infrastruktur des Malware-Frameworks SocGholish außer Betrieb gesetzt. Nach Angaben der Behörden wurden 106 zugehörige Command-and-Control-Server und Domains abgeschaltet. Zudem entfernten die Beteiligten Hintertüren und Schadsoftware von 14.971 infizierten WordPress-Websites. Die Maßnahmen liefen im Rahmen von Operation Endgame. SocGholish, auch unter dem Namen FakeUpdates bekannt und seit 2017 aktiv, wird in Websites mit verbreiteten Content-Management-Systemen wie WordPress, Joomla und Drupal eingeschleust. Das geschieht laut Vorlage über bekannte Schwachstellen oder gestohlene Zugangsdaten. Das Framework dient als JavaScript-basierter Dropper und verteilt über Drive-by-Downloads weitere Schadsoftware. Sicherheitsfirmen und Beobachter stufen SocGholish seit Jahren als einen der am häufigsten genutzten Loader ein. Die Aktion ist auch deshalb relevant, weil die kompromittierte Infrastruktur ein sehr großes Ausmaß erreicht hatte: Die ShadowServer Foundation zählte im Mai mehr als 1,44 Millionen kompromittierte WordPress-Websites, die von SocGholish genutzt werden konnten.

SocGholish wird einem russischsprachigen Bedrohungsakteur zugeschrieben, der unter den Bezeichnungen DEV-0206, Gold Prelude, Mustard Tempest, TA569 und UNC1543 verfolgt wird. Der Akteur fungiert als Initial-Access-Broker und wurde mit der berüchtigten Gruppe Evil Corp in Verbindung gebracht, die dem Text zufolge als mit russischen Nachrichtendiensten verbunden gilt.

Beobachtet wurde TA569 dabei, wahllos Websites zu kompromittieren und den SocGholish-Loader einzuschleusen. Betroffen waren demnach auch prominente Medien- und Einzelhandelsportale, die täglich von Millionen Nutzern besucht werden. Proofpoint erklärt, dass die Schadsoftware den Browser eines Opfers profiliert, bestimmte Prüfungen durchführt und anschließend die komplette Webseite durch eine gefälschte Browser-Aktualisierung ersetzt, um den Download einer schädlichen Nutzlast auszulösen.

Das Cyber-Defense-Team von Orange beobachtete, dass SocGholish Loader wie Gholoader und MintsLoader auslieferte. Diese führten in der Folge zu Nutzlasten wie der PowerShell-Hintertür GhostWeaver, den Ransomware-Familien LockBit und RansomHub sowie den RAT-Hintertüren AsyncRAT und NetSupport RAT.

Wie groß die Reichweite der Kampagne ist, zeigen weitere Zahlen aus der Sicherheitsbranche. Infoblox zufolge waren in diesem Jahr rund 55 Prozent der Cloud-Kunden SocGholish ausgesetzt. Das unterstreiche das hohe Risiko, das von dem Botnetz für Unternehmen weltweit ausgehe. Noch deutlicher fällt die Einordnung der ShadowServer Foundation aus: Im Mai standen mehr als 1,44 Millionen kompromittierte WordPress-Websites zur Nutzung durch SocGholish bereit.

Die nun bekanntgegebene Maßnahme richtete sich gegen die Infrastruktur des Botnetzes. Behörden in den Niederlanden, Kanada, den USA und Deutschland schalteten mit Unterstützung von Europol 106 Command-and-Control-Server und Domains ab, die mit SocGholish verbunden waren. Parallel wurden Hintertüren und Malware von 14.971 infizierten WordPress-Websites entfernt.

Nach Angaben der niederländischen Polizei wurden außerdem Benachrichtigungen an Betreiber von WordPress-Seiten verschickt, bei denen kompromittierte Zugangsdaten identifiziert worden waren. Die Behörde forderte sie auf, ihre Anmeldedaten zu ändern, Mehrfaktor-Authentifizierung zu aktivieren, verdächtige Konten zu löschen und ihre Websites aktuell zu halten.

Behörden zerschlagen Teile des SocGholish-Botnetzes und bereinigen fast 15.000 WordPress-Seiten

Ähnliche Artikel

Neueste Artikel