مقامهای اجرای قانون در هلند با همکاری نهادهای امنیتی کانادا، آلمان و ایالات متحده، در یک عملیات هماهنگ بینالمللی موفق شدند زیرساختهای مخرب مرتبط با SocGholish را مختل کرده و نزدیک به 15 هزار وبسایت وردپرسی آلوده را از کدهای مخرب پاکسازی کنند. این اقدام که در چارچوب عملیات Endgame انجام شده، یکی از بزرگترین تلاشهای چندملیتی برای مقابله با شبکههای توزیع بدافزار، باتنتها و زیرساختهای دسترسی اولیه مهاجمان شمار میرود. به گفته مقامات، این عملیات با هدف مختل کردن زیرساخت و زنجیره توزیع آلودگی و جلوگیری از سوءاستفاده عوامل تهدید از SocGholish برای استقرار بدافزارهای ثانویه انجام شده است.
اختلال در زیرساخت SocGholish در چارچوب عملیات Endgame
مایکل رولمن (Maikel Rollman)، از واحد ملی جرایم فناوری پیشرفته هلند، اعلام کرد که این اقدامات دسترسی مهاجمان به سیستمهای آلوده را محدود کرده و بخشی از زیرساخت عملیاتی آنها را از دسترس خارج میکند. به گفته او، این عملیات از وارد شدن خسارت بیشتر به سامانههای دیجیتال شهروندان، شرکتها و سازمانها در سراسر جهان جلوگیری کرده و به مهار گسترش بدافزار کمک میکند.
همچنین رولمن تأکید کرد که این اقدام، ریسک استفاده از سیستمهای آلوده در حملات سایبری علیه زیرساختهای حیاتی و سایر سرویسها و فرآیندهای ضروری جامعه را کاهش میدهد. به گفته وی، این عملیات تنها آغاز مسیر مقابله با این شبکه بدافزاری است و اقدامات بیشتری علیه عوامل گرداننده آن در دستور کار قرار دارد.
این عملیات بخشی از Endgame است. یک ابتکار بینالمللی که از سال 2024 با هدف مقابله با باتنتها و زیرساختهای مجرمانه مرتبط با آنها در حال اجرا است. در این مرحله، 106 سرور مرتبط از دسترس خارج شد و آلودگی از 14,971 وبسایت وردپرسی پاکسازی شد. همچنین به مالکان این وبسایتها اطلاع داده شده است که سامانه مدیریت محتوا (CMS) خود را بهروزرسانی کنند، اعتبارنامهها را تغییر دهند و هرگونه حساب کاربری مشکوک را حذف کنند.
نقش کلیدی در زنجیره توزیع بدافزار
SocGholish که از سال 2017 فعالیت خود را آغاز کرده و با نام FakeUpdates نیز شناخته میشود، یک بدافزار دانلودر مبتنی بر جاوااسکریپت (JavaScript-based Downloader) است که معمولاً برای دانلود و استقرار بدافزارهای مرحله بعدی مورد استفاده عوامل تهدید قرار میگیرد.
از جمله گروههایی که از این بدافزار استفاده کردهاند میتوان به موارد زیر اشاره کرد:
- Evil Corp معروف به DEV-0243، Indrik Spider و UNC2165
- LockBit
- RansomHub
- Dridex
- Raspberry Robinمعروف به Roshtyak
طبق اعلام بخش سایبری FBI، این بدافزار در ابتدا جای پایی روی سیستمهای قربانی ایجاد میکند و مجموعه این سیستمهای آلوده، یک باتنت را تشکیل میدهند. سپس عوامل تهدید از این دسترسی اولیه برای هدف قرار دادن قربانیان در حملات بعدی، از جمله کمپینهای باجافزاری و عملیات جاسوسی سایبری، استفاده میکنند. این بدافزار از طریق وبسایتهای آلوده توزیع میشود و خود را در پوشش بهروزرسانیهای فریبندهی مرورگرهایی مانند گوگل کروم یا موزیلا فایرفاکس و سایر نرمافزارهای پرطرفدار پنهان میکند.
روشهای آلودگی و سوءاستفاده از وبسایتهای هکشده
اپراتورهای این بدافزار توسط شرکتهای امنیتی با نامها و شناسههای مختلفی ردیابی شدهاند، از جمله:
- Gold Prelude
- Mustard Tempest
- Purple Vallhund
- TA569
- UNC1543
این بدافزار عمدتاً از طریق وبسایتهای هکشده و با نمایش بهروزرسانیهای جعلی برای مرورگرها و نرمافزارهای پرکاربرد توزیع میشود.
بر اساس تحلیل شرکت Silent Push، آلودگی وبسایتها معمولاً از مسیرهای مختلفی انجام میشود. در برخی موارد، کد مخرب بهصورت مستقیم (Direct Injection) در صفحات وب تزریق شده و فایلهای جاوااسکریپت مخرب را بارگذاری میکند. در سناریوهای دیگر نیز از یک فایل جاوااسکریپت میانی (Intermediate JavaScript File) برای بارگذاری و اجرای کدهای تزریقشده استفاده میشود.
شرکت Arctic Wolf در نوامبر 2025 اعلام کرد که گروه تهدیدکننده سایبری RomCom از SocGholish برای استقرار یک عامل (Agent) مبتنی بر فریمورک متنباز Mythic استفاده کرده است؛ موضوعی که نشان میدهد سرویسهای این واسطه دسترسی اولیه (Initial Access Broker) توسط طیف گستردهای از عوامل تهدید با اهداف و انگیزههای مختلف مورد استفاده قرار میگیرد.
مدل تحویل لایهای و سوءاستفاده از TDS برای هدایت قربانیان
شرکت Orange Cyberdefense اعلام کرده است که نمونههایی از آلودگی به SocGholish را شناسایی کرده که در آنها لودرهایی مانند Gholoader (یک لودر مبتنی بر جاوااسکریپت) و MintsLoader مورد استفاده قرار میگیرند؛ لودرهایی که به نوبه خود زمینه را برای استقرار پیلودهای بعدی مانند GhostWeaver، LockBit، AsyncRAT و NetSupport RAT فراهم میکنند.
به گفته این شرکت امنیت سایبری، این تهدید از یک مدل تحویل لایهای (layered delivery model) استفاده میکند و مشاهده شده است که چندین دسته از پیلودهای مرحله بعد را فعال میسازد. همچنین افزوده است که این عامل تهدید با اپراتورهای سامانه توزیع ترافیک (TDS) مانند TA2726 همکاری میکند.
سامانه توزیع ترافیک (TDS) فناوریای است که برای هدایت بازدیدکنندگان وبسایت به مقاصد مختلف بر اساس عوامل گوناگون استفاده میشود. این مقاصد میتوانند شامل صفحات فیشینگ، یا وبسایتهای فریبندهای باشند که کاربران را به دانلود بهروزرسانیهای نرمافزاریِ آلوده ترغیب میکنند. این بدافزارها در نهایت راه را برای نفوذ به شبکه قربانی و اجرای حملات گستردهتری نظیر باجافزار یا سایر کلاهبرداریهای مالی هموار میسازند.
به گفته FBI، مجرمان سایبری از TDS برای دور زدن قوانین سنتی فایروال استفاده میکنند؛ قوانینی که در حالت عادی دسترسی به وبسایتهای مخرب را مسدود میکنند. همچنین از این سامانه برای تحلیل قربانیان احتمالی با جمعآوری اطلاعاتی مانند IP، سیستمعامل، موقعیت جغرافیایی، نوع دستگاه و مرورگر استفاده میشود. همچنین پس از هدایت کاربران به یک TDS، که اغلب از طریق تکنیکهای مهندسی اجتماعی (social engineering) انجام میشود، مهاجمان میتوانند در انتهای زنجیره هدایت، با ارائه صفحات فیشینگ، کلاهبرداریهای مالی و سایر بدافزارها، دستگاه کاربران را هدف قرار دهند.
تکنیک Domain Shadowing و پنهانسازی زیرساخت مخرب
بنیاد Shadowserver اعلام کرده است که بخش قابلتوجهی از نمونههای وردپرس آلوده بهگونهای تغییر یافتهاند که برای میزبانی یا ارجاع به زیرساختهای مجرمانه مورد استفاده قرار میگیرند. بر اساس این گزارش، بیشترین وبسایتهای هکشده در ایالات متحده قرار داشتهاند و پس از آن بهترتیب آلمان، فرانسه، هند، برزیل، سنگاپور، ایتالیا، اندونزی، کانادا و ویتنام در رتبههای بعدی قرار گرفتهاند.
همچنین این نهاد به بهرهگیری از تکنیکی به نام Domain Shadowing اشاره کرده است. در این روش، عامل تهدید با نفوذ به پنل مدیریتیِ ارائهدهنده DNS یا حساب کاربریِ ثبتکننده (Registrar) یک دامنه معتبر، اقدام به ایجاد زیردامنههای غیرمجاز (Subdomain) در زیرمجموعه دامنه اصلی (Apex Domain) میکند.
این زیردامنههای غیرمجاز معمولاً با نامهای ظاهراً عادی و رایج ایجاد میشوند تا در ساختار DNS قانونی دامنه میزبان پنهان بمانند، اما در عمل به زیرساختهای خارجی تحت کنترل مجرمان سایبری ارجاع میدهند؛ روشی که در نهایت شناسایی و مسدودسازی فعالیتهای مرتبط با SocGholish را برای مدافعان امنیتی دشوارتر میکند.
سوءااستفاده همزمان چند عامل تهدید از زیرساختهای آلوده
وبسایتهای آلوده اغلب بهطور همزمان توسط چندین عامل تهدید مورد سوءاستفاده قرار میگیرند و کاربران ناآگاه را در معرض مجموعهای پیچیده از تهدیدهای بالقوه قرار میدهند. عملکرد مخرب این وبسایتها بر اساس عواملی مانند کشور مبدأ کاربر، نوع مرورگر و سیستمعامل مورد استفاده تعیین میشود.
شرکت Proofpoint اعلام کرده است که TA569 رویکردی فرصتطلبانه دارد و بدون محدودیت صنعتی، اقدام به آلودهسازی وبسایتها میکند؛ با این حال، وبسایتهای پرترافیک معمولاً منجر به تعداد بیشتری قربانی میشوند. این عامل تهدید تقریباً تمامی صنایع از نهادهای غیرانتفاعی و مراکز آموزشی گرفته تا مراکز درمانی، بیمارستانها و شرکتهای فعال در حوزه حقوقی و املاک را هدف قرار داده است.
فریمورک چندمرحلهای جاوااسکریپت و نقش شرکای تجاری
شرکت Infoblox، SocGholish را یک فریمورک چندمرحلهای جاوااسکریپت توصیف کرده است که وبسایتهای آلوده را به بسترهایی برای تحویل بدافزار از نوع دانلود ناخواسته یا به عبارتی تکنیک درایوبای (drive-by) تبدیل میکند. این فریمورک بر چهار مرحله اصلی استوار است:
- جذب ترافیک
- فیلتر ترافیک
- فریب کاربر برای اجرای پیلود
- اجرای ایمپلنت روی دستگاه
بر اساس گزارش Infoblox، خود عامل تهدید TA569 تعداد زیادی وبسایت را آلوده میکند، اما در عین حال از شرکای تجاری نیز ترافیک دریافت میکند. در این مدل تجاری، هنگام ورود کاربر به وبسایت، شرکای تجاری ابتدا اقدام به جمعآوری اثرانگشت دستگاه میکنند. سپس، قربانیان بالقوه را از طریق لینکهای جاسازیشده به سمت این بستر مخرب هدایت میکنند و در ازای جذب هر لید (Lead)، دستمزد مشخصی دریافت مینمایند.
اکوسیستم گسترده شرکای تجاری و زیرساختهای توزیع ترافیک در SocGholish
برخی از شرکای تجاری برجستهای که طی سالهای گذشته ترافیک خود را به فریمورک SocGholish فروختهاند، شامل گروههای TA2726، Parrot TDS و JunkyTDS هستند. همچنین عوامل تهدید از سرویسها و محصولات تجاری مانند Keitaro و zTDS برای فیلتر کردن ترافیک استفاده کردهاند تا کاربران را به صفحات آلوده هدایت کنند؛ و در صورتی که بازدیدکننده وبسایت آلوده با معیارهای تعیینشده مطابقت نداشته باشد، او را به وبسایت اصلی یا سایر محتوای بیخطر منتقل میکنند.
بر اساس دادههای Infoblox، تنها در سال جاری حدود 55 درصد از مشتریان ابری این شرکت تلاش برای اتصال به زیرساختهای مرتبط را تجربه کردهاند؛ حملاتی که در پنج ماه اخیر تقریباً «تمامی صنایع» را تحتتأثیر قرار داده است. حوزههای کلیدی که بیشترین هدف این حملات بودهاند شامل دولت، آموزش، بانکداری، بهداشت و درمان، سرویسهای غیر IT، سرویسهای مالی، مشاوره فناوری اطلاعات، سرویسهای عمومی، بیمه و حملونقل هستند.
طبق اعلام این شرکت، این الگوی توزیع تأکید میکند که تهدید مذکور، یک تهدید حاشیهای محدود به یک حوزه صنعتی خاص نیست. در عوض، اکوسیستم گسترده Webinject (تزریق در وب) و سیستم TDS آن، هم به بخشهای دولتی و هم به محیطهای تجاری مهم نفوذ کرده است؛ موضوعی که آن را به تهدیدی گسترده و قابلتوجه برای طیف وسیعی از سازمانها و کاربران تبدیل کرده است.