Die Maßnahmen gegen SocGholish zielten nicht nur auf Server und Domains, sondern auch auf die kompromittierte Infrastruktur, über die das Framework verbreitet wurde. Nach Angaben der Behörden wurden 14.971 Websites bereinigt, die von den Betreibern von SocGholish kompromittiert worden waren. Das niederländische Nationale Polizeikorps teilte zudem mit, dass bei der jüngsten Operation-Endgame-Maßnahme 1,4 Millionen geleakte WordPress-Zugangsdaten gefunden wurden.

SocGholish, auch als TA569 verfolgt, setzt laut Infoblox seit Jahren auf eine vergleichsweise einfache, aber wirksame Angriffskette. Am Anfang steht die Kompromittierung legitimer Websites, oft auf WordPress-Basis, etwa durch Password-Spraying oder durch bereits offengelegte Zugangsdaten. Anschließend werden ahnungslose Besucher über TDS von ihrem eigentlichen Ziel auf gefälschte Browser-Updates umgeleitet.

Das FBI beschreibt TDS als Systeme, die Internetnutzer nach Klicks auf Werbelinks, nach Anmeldungen für Werbeaktionen oder nach dem Download einer Anwendung an neue Ziele weiterleiten. Kriminelle missbrauchten diese legitimen, kommerziellen Systeme jedoch häufig oder betrieben eigene Untergrundvarianten, um Datenverkehr zu kapern und auf schädliche Ziele umzulenken. In einer öffentlichen Warnung erklärte die Cyber Division des FBI, Cyberkriminelle nutzten TDS, um Nutzer selektiv auf kompromittierte oder gefälschte Login-Seiten umzuleiten, die Phishing-Seiten für Online-Finanzbetrug enthalten oder Downloads angeblicher Software-Updates mit Malware anbieten können.

Nach einem Infoblox-Blogbeitrag von vergangener Woche betrifft SocGholish eine breite Palette von Unternehmen und Einrichtungen des öffentlichen Sektors. Das Forschungsteam bezeichnete die Bedrohung nicht als Nischenthema für eine bestimmte Branche. Vielmehr habe in den vergangenen fünf Monaten nahezu jede untersuchte Branche mindestens eine Anfrage an eine SocGholish-Domain verzeichnet, also einen Aufruf einer von Angreifern kontrollierten Domain. Die meiste Aktivität beobachtete Infoblox in den Bereichen Regierung, Bildung, Banken, Gesundheitswesen und Nicht-IT-Dienstleistungen.

Infoblox zufolge nutzen die mit SocGholish verbundenen Akteure unter anderem ParrotTDS und JunkyTDS. Auch Keitaro, ein kommerzielles TDS, das häufig von Cyberkriminellen missbraucht werde, sei von angeschlossenen Bedrohungsakteuren verwendet worden, um Datenverkehr zu SocGholish zu lenken. Keitaro und das Mutterunternehmen Apliteni hätten zuletzt mit Forschern von Infoblox zusammengearbeitet, um den Missbrauch ihrer Plattform zu unterbinden.

Wenn Nutzer auf die gefälschten Updates klicken, erhalten sie eine JavaScript-Datei, die als Vorstufe für spätere Malware-Nachladungen dient. TDS bieten den Betreibern von SocGholish dabei zusätzlichen Nutzen: Sie wirken wie legitime Werbetechnologie-Plattformen, filtern unerwünschten Verkehr wie Bots, Honeypots oder Forscher heraus und ermöglichen Fingerprinting der Systeme. Infoblox betont, dass insbesondere an eine Domäne angebundene Systeme für SocGholish wertvoll seien, weil sie wahrscheinlich mit Unternehmensumgebungen für Identität und Management verbunden sind.

Renée Burton, Vizepräsidentin für Bedrohungsaufklärung bei Infoblox, sagte Dark Reading, die Beschlagnahmungen im Rahmen von Operation Endgame hätten auch Domains der schädlichen TDS umfasst und damit einen zentralen Teil der SocGholish-Infektionskette gestört. Infoblox erwartet deshalb in den kommenden Wochen einen Rückgang der Aktivität, weil die Störung der Infrastruktur von TA569 wahrscheinlich dessen „Ruf als verlässlicher Anbieter für Erstzugriffe“ beschädigt habe. Zugleich verwies das Unternehmen darauf, dass in seinem Datensatz fast 55 Prozent der Kundennetze innerhalb von fünf Monaten versucht hätten, SocGholish-Infrastruktur zu erreichen. Die überwältigende Mehrheit dieser Versuche habe nicht in einer aktiven Kompromittierung eines Geräts geendet, allerdings habe man eine kleine Zahl potenziell betroffener Kundennetze mit lokaler Ausführung einer SocGholish-Nutzlast identifiziert.