خانه » عملیات Endgame با مختل‌کردن سرورهای SocGholish، 14,971 سایت وردپرسی آلوده را پاک‌سازی کرد

عملیات Endgame با مختل‌کردن سرورهای SocGholish، 14,971 سایت وردپرسی آلوده را پاک‌سازی کرد

توسط Vulnerbyte_News
10 بازدید

مقام‌های اجرای قانون در هلند با همکاری نهادهای امنیتی کانادا، آلمان و ایالات متحده، در یک عملیات هماهنگ بین‌المللی موفق شدند زیرساخت‌های مخرب مرتبط با SocGholish را مختل کرده و نزدیک به 15 هزار وب‌سایت وردپرسی آلوده را از کدهای مخرب پاک‌سازی کنند. این اقدام که در چارچوب عملیات Endgame انجام شده، یکی از بزرگ‌ترین تلاش‌های چندملیتی برای مقابله با شبکه‌های توزیع بدافزار، بات‌نت‌ها و زیرساخت‌های دسترسی اولیه مهاجمان شمار می‌رود. به گفته مقامات، این عملیات با هدف مختل کردن زیرساخت و زنجیره توزیع آلودگی و جلوگیری از سوءاستفاده عوامل تهدید از SocGholish برای استقرار بدافزارهای ثانویه انجام شده است.

اختلال در زیرساخت SocGholish در چارچوب عملیات Endgame

مایکل رولمن (Maikel Rollman)، از واحد ملی جرایم فناوری پیشرفته هلند، اعلام کرد که این اقدامات دسترسی مهاجمان به سیستم‌های آلوده را محدود کرده و بخشی از زیرساخت عملیاتی آن‌ها را از دسترس خارج می‌کند. به گفته او، این عملیات از وارد شدن خسارت بیشتر به سامانه‌های دیجیتال شهروندان، شرکت‌ها و سازمان‌ها در سراسر جهان جلوگیری کرده و به مهار گسترش بدافزار کمک می‌کند.

همچنین رولمن تأکید کرد که این اقدام، ریسک استفاده از سیستم‌های آلوده در حملات سایبری علیه زیرساخت‌های حیاتی و سایر سرویس‌ها و فرآیندهای ضروری جامعه را کاهش می‌دهد. به گفته وی، این عملیات تنها آغاز مسیر مقابله با این شبکه بدافزاری است و اقدامات بیشتری علیه عوامل گرداننده آن در دستور کار قرار دارد.

این عملیات بخشی از Endgame است. یک ابتکار بین‌المللی که از سال 2024 با هدف مقابله با بات‌نت‌ها و زیرساخت‌های مجرمانه مرتبط با آن‌ها در حال اجرا است. در این مرحله، 106 سرور مرتبط از دسترس خارج شد و آلودگی از 14,971 وب‌سایت وردپرسی پاک‌سازی شد. همچنین به مالکان این وب‌سایت‌ها اطلاع داده شده است که سامانه مدیریت محتوا (CMS) خود را به‌روزرسانی کنند، اعتبارنامه‌ها را تغییر دهند و هرگونه حساب کاربری مشکوک را حذف کنند.

نقش کلیدی در زنجیره توزیع بدافزار

SocGholish که از سال 2017 فعالیت خود را آغاز کرده و با نام FakeUpdates نیز شناخته می‌شود، یک بدافزار دانلودر مبتنی بر جاوااسکریپت (JavaScript-based Downloader) است که معمولاً برای دانلود و استقرار بدافزارهای مرحله بعدی مورد استفاده عوامل تهدید قرار می‌گیرد.

از جمله گروه‌هایی که از این بدافزار استفاده کرده‌اند می‌توان به موارد زیر اشاره کرد:

  • Evil Corp معروف به DEV-0243، Indrik Spider و UNC2165
  • LockBit
  • RansomHub
  • Dridex
  • Raspberry Robinمعروف به Roshtyak

طبق اعلام بخش سایبری FBI، این بدافزار در ابتدا جای پایی روی سیستم‌های قربانی ایجاد می‌کند و مجموعه این سیستم‌های آلوده، یک بات‌نت را تشکیل می‌دهند. سپس عوامل تهدید از این دسترسی اولیه برای هدف قرار دادن قربانیان در حملات بعدی، از جمله کمپین‌های باج‌افزاری و عملیات جاسوسی سایبری، استفاده می‌کنند. این بدافزار از طریق وب‌سایت‌های آلوده توزیع می‌شود و خود را در پوشش به‌روزرسانی‌های فریبنده‌ی مرورگرهایی مانند گوگل کروم یا موزیلا فایرفاکس و سایر نرم‌افزارهای پرطرفدار پنهان می‌کند.

روش‌های آلودگی و سوءاستفاده از وب‌سایت‌های هک‌شده

اپراتورهای این بدافزار توسط شرکت‌های امنیتی با نام‌ها و شناسه‌های مختلفی ردیابی شده‌اند، از جمله:

  • Gold Prelude
  • Mustard Tempest
  • Purple Vallhund
  • TA569
  • UNC1543

این بدافزار عمدتاً از طریق وب‌سایت‌های هک‌شده و با نمایش به‌روزرسانی‌های جعلی برای مرورگرها و نرم‌افزارهای پرکاربرد توزیع می‌شود.

بر اساس تحلیل شرکت Silent Push، آلودگی وب‌سایت‌ها معمولاً از مسیرهای مختلفی انجام می‌شود. در برخی موارد، کد مخرب به‌صورت مستقیم (Direct Injection) در صفحات وب تزریق شده و فایل‌های جاوااسکریپت مخرب را بارگذاری می‌کند. در سناریوهای دیگر نیز از یک فایل جاوااسکریپت میانی (Intermediate JavaScript File) برای بارگذاری و اجرای کدهای تزریق‌شده استفاده می‌شود.

شرکت Arctic Wolf در نوامبر 2025 اعلام کرد که گروه تهدیدکننده ‌سایبری RomCom از SocGholish برای استقرار یک عامل (Agent) مبتنی بر فریم‌ورک متن‌باز Mythic استفاده کرده است؛ موضوعی که نشان می‌دهد سرویس‌های این واسطه دسترسی اولیه (Initial Access Broker) توسط طیف گسترده‌ای از عوامل تهدید با اهداف و انگیزه‌های مختلف مورد استفاده قرار می‌گیرد.

SocGholish
سایت‌های وردپرس آلوده بر اساس موقعیت جغرافیایی IP به تفکیک کشور

مدل تحویل لایه‌ای و سوءاستفاده از TDS برای هدایت قربانیان

شرکت Orange Cyberdefense اعلام کرده است که نمونه‌هایی از آلودگی به SocGholish را شناسایی کرده که در آن‌ها لودرهایی مانند Gholoader (یک لودر مبتنی بر جاوااسکریپت) و MintsLoader مورد استفاده قرار می‌گیرند؛ لودرهایی که به نوبه خود زمینه را برای استقرار پیلودهای بعدی مانند GhostWeaver، LockBit، AsyncRAT و NetSupport RAT فراهم می‌کنند.

به گفته این شرکت امنیت سایبری، این تهدید از یک مدل تحویل لایه‌ای (layered delivery model) استفاده می‌کند و مشاهده شده است که چندین دسته از پیلودهای مرحله بعد را فعال می‌سازد. همچنین افزوده است که این عامل تهدید با اپراتورهای سامانه توزیع ترافیک (TDS) مانند TA2726 همکاری می‌کند.

سامانه توزیع ترافیک (TDS) فناوری‌ای است که برای هدایت بازدیدکنندگان وب‌سایت به مقاصد مختلف بر اساس عوامل گوناگون استفاده می‌شود. این مقاصد می‌توانند شامل صفحات فیشینگ، یا وب‌سایت‌های فریبنده‌ای باشند که کاربران را به دانلود به‌روزرسانی‌های نرم‌افزاریِ آلوده ترغیب می‌کنند. این بدافزارها در نهایت راه را برای نفوذ به شبکه قربانی و اجرای حملات گسترده‌تری نظیر باج‌افزار یا سایر کلاهبرداری‌های مالی هموار می‌سازند.

به گفته FBI، مجرمان سایبری از TDS برای دور زدن قوانین سنتی فایروال استفاده می‌کنند؛ قوانینی که در حالت عادی دسترسی به وب‌سایت‌های مخرب را مسدود می‌کنند. همچنین از این سامانه برای تحلیل قربانیان احتمالی با جمع‌آوری اطلاعاتی مانند IP، سیستم‌عامل، موقعیت جغرافیایی، نوع دستگاه و مرورگر استفاده می‌شود. همچنین پس از هدایت کاربران به یک TDS، که اغلب از طریق تکنیک‌های مهندسی اجتماعی (social engineering) انجام می‌شود، مهاجمان می‌توانند در انتهای زنجیره هدایت، با ارائه صفحات فیشینگ، کلاهبرداری‌های مالی و سایر بدافزارها، دستگاه کاربران را هدف قرار دهند.

تکنیک Domain Shadowing و پنهان‌سازی زیرساخت مخرب

بنیاد Shadowserver اعلام کرده است که بخش قابل‌توجهی از نمونه‌های وردپرس آلوده به‌گونه‌ای تغییر یافته‌اند که برای میزبانی یا ارجاع به زیرساخت‌های مجرمانه مورد استفاده قرار می‌گیرند. بر اساس این گزارش، بیشترین وب‌سایت‌های هک‌شده در ایالات متحده قرار داشته‌اند و پس از آن به‌ترتیب آلمان، فرانسه، هند، برزیل، سنگاپور، ایتالیا، اندونزی، کانادا و ویتنام در رتبه‌های بعدی قرار گرفته‌اند.

همچنین این نهاد به بهره‌گیری از تکنیکی به نام Domain Shadowing اشاره کرده است. در این روش، عامل تهدید با نفوذ به پنل مدیریتیِ ارائه‌دهنده DNS یا حساب کاربریِ ثبت‌کننده (Registrar) یک دامنه معتبر، اقدام به ایجاد زیر‌دامنه‌های غیرمجاز (Subdomain) در زیرمجموعه دامنه اصلی (Apex Domain) می‌کند.

این زیر‌دامنه‌های غیرمجاز معمولاً با نام‌های ظاهراً عادی و رایج ایجاد می‌شوند تا در ساختار DNS قانونی دامنه میزبان پنهان بمانند، اما در عمل به زیرساخت‌های خارجی تحت کنترل مجرمان سایبری ارجاع می‌دهند؛ روشی که در نهایت شناسایی و مسدودسازی فعالیت‌های مرتبط با SocGholish را برای مدافعان امنیتی دشوارتر می‌کند.

SocGholish
نمایی ساده‌شده از شرکای تجاری که قربانیان را به سمت SocGholish هدایت می‌کنند.

سوءااستفاده هم‌زمان چند عامل تهدید از زیرساخت‌های آلوده

وب‌سایت‌های آلوده اغلب به‌طور هم‌زمان توسط چندین عامل تهدید مورد سوءاستفاده قرار می‌گیرند و کاربران ناآگاه را در معرض مجموعه‌ای پیچیده از تهدیدهای بالقوه قرار می‌دهند. عملکرد مخرب این وب‌سایت‌ها بر اساس عواملی مانند کشور مبدأ کاربر، نوع مرورگر و سیستم‌عامل مورد استفاده تعیین می‌شود.

شرکت Proofpoint اعلام کرده است که TA569 رویکردی فرصت‌طلبانه دارد و بدون محدودیت صنعتی، اقدام به آلوده‌سازی وب‌سایت‌ها می‌کند؛ با این حال، وب‌سایت‌های پرترافیک معمولاً منجر به تعداد بیشتری قربانی می‌شوند. این عامل تهدید تقریباً تمامی صنایع از نهادهای غیرانتفاعی و مراکز آموزشی گرفته تا مراکز درمانی، بیمارستان‌ها و شرکت‌های فعال در حوزه حقوقی و املاک را هدف قرار داده است.

فریم‌ورک چندمرحله‌ای جاوااسکریپت و نقش شرکای تجاری

شرکت Infoblox، SocGholish را یک فریم‌ورک چندمرحله‌ای جاوااسکریپت توصیف کرده است که وب‌سایت‌های آلوده را به بسترهایی برای تحویل بدافزار از نوع دانلود ناخواسته یا به عبارتی تکنیک درایو‌بای (drive-by) تبدیل می‌کند. این فریم‌ورک بر چهار مرحله اصلی استوار است:

  • جذب ترافیک
  • فیلتر ترافیک
  • فریب کاربر برای اجرای پیلود
  • اجرای ایمپلنت روی دستگاه

بر اساس گزارش Infoblox، خود عامل تهدید TA569 تعداد زیادی وب‌سایت را آلوده می‌کند، اما در عین حال از شرکای تجاری نیز ترافیک دریافت می‌کند. در این مدل تجاری، هنگام ورود کاربر به وب‌سایت، شرکای تجاری ابتدا اقدام به جمع‌آوری اثرانگشت دستگاه می‌کنند. سپس، قربانیان بالقوه را از طریق لینک‌های جاسازی‌شده به سمت این بستر مخرب هدایت می‌کنند و در ازای جذب هر لید (Lead)، دستمزد مشخصی دریافت می‌نمایند.

اکوسیستم گسترده شرکای تجاری و زیرساخت‌های توزیع ترافیک در SocGholish

برخی از شرکای تجاری برجسته‌ای که طی سال‌های گذشته ترافیک خود را به فریم‌ورک SocGholish فروخته‌اند، شامل گروه‌های TA2726، Parrot TDS و JunkyTDS هستند. همچنین عوامل تهدید از سرویس‌ها و محصولات تجاری مانند Keitaro و zTDS برای فیلتر کردن ترافیک استفاده کرده‌اند تا کاربران را به صفحات آلوده هدایت کنند؛ و در صورتی که بازدیدکننده وب‌سایت آلوده با معیارهای تعیین‌شده مطابقت نداشته باشد، او را به وب‌سایت اصلی یا سایر محتوای بی‌خطر منتقل می‌کنند.

بر اساس داده‌های Infoblox، تنها در سال جاری حدود 55 درصد از مشتریان ابری این شرکت تلاش برای اتصال به زیرساخت‌های مرتبط را تجربه کرده‌اند؛ حملاتی که در پنج ماه اخیر تقریباً «تمامی صنایع» را تحت‌تأثیر قرار داده است. حوزه‌های کلیدی که بیشترین هدف این حملات بوده‌اند شامل دولت، آموزش، بانکداری، بهداشت و درمان، سرویس‌های غیر IT، سرویس‌های مالی، مشاوره فناوری اطلاعات، سرویس‌های عمومی، بیمه و حمل‌ونقل هستند.

طبق اعلام این شرکت، این الگوی توزیع تأکید می‌کند که تهدید مذکور، یک تهدید حاشیه‌ای محدود به یک حوزه صنعتی خاص نیست. در عوض، اکوسیستم گسترده Webinject (تزریق در وب)  و سیستم TDS آن، هم به بخش‌های دولتی و هم به محیط‌های تجاری مهم نفوذ کرده است؛ موضوعی که آن را به تهدیدی گسترده و قابل‌توجه برای طیف وسیعی از سازمان‌ها و کاربران تبدیل کرده است.

منابع

همچنین ممکن است دوست داشته باشید

پیام بگذارید