هذه المدونة هي الأحدث في سلسلة تتعمق في الأبحاث العميقة التي تجريها يوميًا Trustwave SpiderLabs فريق عمليات التهديدات المعني بمجموعات التهديد الرئيسية والبرامج الضارة التي تعمل حاليًا على مستوى العالم.
العمل كبرنامج ضار كخدمة (MaaS)
SocGholish، المعروف أيضًا باسم FakeUpdates، موجود في الخدمة منذ عام 2017.
تم توزيع SocGholish بواسطة مجموعة التهديد TA569، وهو معروف بتنكره كتحديث تطبيق مزيف لخداع المستخدمين لتنزيل ملفات ضارة. لدى TA569 اتصال ضعيف بالحكومة الروسية من خلال وحدة GRU 29155، مع Raspberry Robin كحمولة لها. بالإضافة إلى ذلك، يوفر TA569 إمكانات وسيط الوصول الأولي (IAB) لأولئك الذين يستخدمون البرامج الضارة. إن دوافع المجموعة مالية في المقام الأول، حيث يدور نموذج أعمالها حول التمكين والاستفادة من التنازلات اللاحقة من قبل الجهات الفاعلة الأخرى.
يعد تأثير SocGholish كبيرًا، ويرجع ذلك أساسًا إلى قدرته على تحويل مواقع الويب الشرعية إلى منصات توزيع واسعة النطاق للبرامج الضارة. بمجرد تنفيذها، تتراوح حمولاتها من أدوات التحميل والسرقة إلى برامج الفدية، مما يسمح باستغلال المتابعة على نطاق واسع. هذا المزيج من الوصول الواسع وآليات التسليم البسيطة والاستخدام المرن من قبل مجموعات متعددة يجعل من SocGholish تهديدًا مستمرًا وخطيرًا عبر الصناعات والمناطق.
قائمة العملاء
أحد أبرز مستخدمي SocGholish هو Evil Corp، وهي مجموعة إجرامية إلكترونية روسية لها علاقات مع أجهزة المخابرات الروسية، والمعروفة باستخدام عائلات متعددة من برامج الفدية، مثل BitPaymer وWastedLocker وLockBit.
وهذا يجعل SocGholish مرنًا للغاية حيث يمكن لأي جهة تهديد استخدام البرامج الضارة في الحملات الخاصة بها. ونتيجة لذلك، هناك مجموعة واسعة من الجهات التهديدية التي تستخدم SocGholish.
في أوائل عام 2025، تم استخدام SocGholish لتوزيع RansomHub، أحد أكثر متغيرات برامج الفدية نشاطًا، كجزء من أنشطة ما بعد الاستغلال. وهذا يسلط الضوء على تنوع SocGholish كبنية تحتية للتسليم قادرة على توزيع نطاق واسع من الحمولات عبر حملات متعددة.
المنهجية
لاحظت SpiderLabs أن SocGholish يستهدف في المقام الأول نشاط تصفح المستخدم النهائي، ويستغل مواقع الويب المخترقة لتقديم مطالبات التحديث المزيفة. يتم بعد ذلك توجيه الضحايا من خلال أنظمة توزيع حركة المرور (TDS) مثل Keitaro وParrot TDS لتصفية المستخدمين بناءً على عوامل محددة مثل الموقع الجغرافي أو نوع المتصفح أو تكوين النظام. وهذا يضمن أن الأهداف المقصودة فقط هي التي تتعرض للحمولة.
وبهذه الطريقة، يصبح المستخدمون “أصولًا” تتفاعل مع الويب، وتكون مواقع الويب المخترقة بمثابة نقطة دخول لمتابعة تسليم البرامج الضارة.
تقنيات التسوية الأولية
- المواقع المخالفة: يستهدف SocGholish في المقام الأول مواقع WordPress الضعيفة من خلال استغلال نقاط الضعف، غالبًا من خلال حسابات “wp-admin” المخترقة. يقوم المهاجمون بإدخال نصوص برمجية ضارة، مثل ms_main_script-jsأو توزيع المكونات الإضافية المزيفة وملفات السمات المعدلة لدمج البرامج الضارة بسلاسة في الوظيفة العادية للموقع.
- تظليل المجال: تقوم الجهات الفاعلة في مجال التهديد بإنشاء نطاقات فرعية ضارة سرًا على النطاقات المشروعة المخترقة. ويحققون ذلك عن طريق إضافة سجل عنوان جديد (سجل A) إلى DNS الخاص بالمجال، مما يزيد من ثقة المجال الأصلي لتجاوز الكشف الأمني.
الاستهداف والتهرب
يستخدم SocGholish بشكل كبير TDS، وتحديدًا Parrot TDS (باستخدام كلمات رئيسية مثل ndsj وndsw وndsx) وKeitaro TDS، لتصفية ضحاياه وتحسينهم.
- ملف تعريف الضحية: يقوم TDS بجمع معلومات النظام وبيانات IP والموقع الجغرافي لتحديد ما إذا كان المستخدم هدفًا مناسبًا.
- التهرب: يستخدم فحوصات سلوكية للكشف عن صناديق الحماية أو البيئات الافتراضية وتجنبها. كما أنها تستخدم ملفات تعريف الارتباط لإعادة توجيه الزائرين المتكررين إلى محتوى حميد والتحقق من صحة تنسيقات المرجع وعناوين URL، مما يضمن أن الأهداف الحقيقية فقط هي التي تتلقى الحمولة الضارة.
سلسلة العدوى
يعتمد جوهر الهجوم على الهندسة الاجتماعية ومحمل جافا سكريبت الخبيث.
- تحديثات وهمية: يخدع المهاجمون الضحايا من خلال النقر على المطالبات المتخفية في شكل تحديثات برامج شرعية (على سبيل المثال، لمتصفح الويب أو Flash Player). غالبًا ما يتم تصميم الرسائل خصيصًا للمتصفح والإصدار الخاصين بالضحية لزيادة المصداقية.
- جافا سكريبت الضارة: عادةً ما يعمل ملف JavaScript الضار الذي تم تنزيله كمحمل. يقوم بإنشاء اتصال القيادة والتحكم (C2) للحصول على مزيد من التعليمات. وفي الإصدارات الأخرى، يقدم البرنامج النصي ملفًا تعريفيًا للنظام والشبكة المصابة قبل استلام الحمولة النهائية.
متابعة الحمولات
كما ذكرنا سابقًا، تتمثل الوظيفة الرئيسية لـ SocGholish في توفير الوصول الأولي للمجموعات الإجرامية الأخرى. بمجرد إصابة النظام، يمكنه إسقاط مجموعة واسعة من البرامج الضارة، بما في ذلك:
- برامج الفدية: مثل RansomHub وLockBit.
- أحصنة طروادة للوصول عن بعد (RATs): بما في ذلك AsyncRAT وNetSupport.
- اللوادر/السارقون: مثل MintsLoader، وRedLine Stealer، وDridex.
يمثل SocGholish تهديدًا كبيرًا لجميع المؤسسات التي تستفيد من التكتيكات التي تستغل ثقة المستخدم والبنية التحتية الشرعية للويب. إن قدرتها على التكيف مع مختلف القطاعات والمناطق المستهدفة، إلى جانب أساليب التسليم المباشرة، تؤكد انتشارها بين الجهات الفاعلة في مجال التهديد، بما في ذلك المجموعات سيئة السمعة مثل Evil Corp.
المحتوى المقدم هنا هو لأغراض إعلامية عامة فقط ولا ينبغي تفسيره على أنه نصيحة قانونية أو تنظيمية أو تتعلق بالامتثال أو الأمن السيبراني. يجب على المؤسسات استشارة متخصصيها في الشؤون القانونية أو الامتثال أو الأمن السيبراني فيما يتعلق بالتزامات محددة واستراتيجيات إدارة المخاطر. في حين أن حلول الكشف عن التهديدات المُدارة والاستجابة لها من LevelBlue مصممة لدعم الكشف عن التهديدات والاستجابة لها على مستوى نقطة النهاية، إلا أنها ليست بديلاً عن المراقبة الشاملة للشبكة، أو إدارة الثغرات الأمنية، أو برنامج الأمن السيبراني الكامل.
