Grupa cyberprzestępcza TA569 wdraża złośliwe oprogramowanie SocGholish

TA569 to grupa cyberprzestępcza, znanym przede wszystkim z wdrażania złośliwych kodów JavaScript na stronach internetowych, które instalują złośliwe oprogramowanie SocGholish na komputerach, uzyskujących dostęp do tych stron. W ciągu ostatnich kilku miesięcy badacze Proofpoint zaobserwowali zmiany w taktyce, technikach i procedurach (TTP) stosowanych przez grupę TA569. Zmiany obejmują zwiększenie liczby odmian złośliwego kodu, ładunki odbiegające od standardowych pakietów JavaScript „Fake Update” SocGholish. Zmiany i ich częstotliwość są prawdopodobnie spowodowane weryfikacją danych dotyczących skuteczności łańcucha ataków i rentowność. Proofpoint uważa grupę TA569 za brokera dostępu początkowego (IAB) i niezależnego cyberprzestępcę, który infiltruje główne cele, a następnie sprzedaje dostęp innym cyberprzestępcom w celu dostarczania kolejnych ładunków, takich jak ransomware. Proofpoint uważa, że oprócz bycia IAB, grupa TA569 wykorzystuje swoją rozległą sieć wstrzykiwania złośliwych kodów i infrastrukturę, aby oferować płatną usługę za instalację (PPI) innym ugrupowaniom cyberprzestępczym.

Łańcuch infekcji rozpoczyna się, gdy użytkownik odwiedza zainfekowaną złośliwym kodem witrynę. Następuje to m.in. poprzez kliknięcie w dostarczony link z wiadomości e-mail lub bezpośrednie odwiedzenie strony internetowej. Przeglądarka ofiary interpretuje złośliwy kod JavaScript i jeśli środowisko spełnia określone kryteria, wówczas zostanie dostarczone złośliwe oprogramowanie SocGholish – np. jako fałszywa aktualizacja przeglądarki, która prezentuje się w formacie pełnoekranowym, jakby pochodziła z samej witryny.

 

Proofpoint zaobserwował również inne przynęty wykorzystywane przez grupę TA569 do dostarczania innych złośliwych programów, w tym: ochronę przed odmową usługi (DDoS), fałszywe aktualizacje oprogramowania zabezpieczającego, kody captcha i inne motywy związane z rzekomymi „aktualizacjami”. Wabiki te są wykorzystywane do dostarczania różnych ładunków szkodliwego oprogramowania, w tym narzędzi służących do kradzieży informacji i trojanów zdalnego dostępu (RAT).

Po kliknięciu przynęty pobierany jest plik zawierający złośliwe oprogramowanie. Typ pliku zależy od ładunku i obejmuje między innymi pliki .js, .zip lub .iso. Użytkownik musi uruchomić plik, aby złośliwe oprogramowanie mogło zadziałać na hoście. Różne trojany RAT i aplikacje „złodzieje informacji”, jak SocGholish, mogą przygotować grunt pod kolejne infekcje złośliwym oprogramowaniem, w tym ransomware .

Etap 1 wstrzyknięcia SocGholish

 

Wskaźnik kompromisu

Etap 1

soendorg[.]top

hxxps[://]jquery0[.]com/JkrJYcvQ

IP: 45.9.190[.]217,77.91.127[.]52, 82.180.154[.]113, 84.32.188[.]27, 159.69.101[.]84,

185.185.87[.]19, 185.185.87[.]24, 188.138.69[.]102, 195.133.88[.]19