SocGholish入侵技术助长RansomHub勒索软件传播
摘要
复杂的入侵集Water Scylla包含多个阶段,涉及被入侵网站、与运营恶意Keitaro TDS实例的威胁行为者合作、SocGholish有效载荷投递以及导致RansomHub的入侵后活动。截至2025年初,美国的SocGholish检测量最高,政府组织是受影响最严重的机构之一。
SocGholish的特点是其混淆的JavaScript加载程序,使用各种规避技术绕过传统检测方法,主要通过入侵合法网站进行传播。通过在被入侵网站注入恶意脚本,威胁行为者将访问者重定向到虚假的浏览器更新通知,诱骗他们下载并执行恶意文件。
Water Scylla与运营恶意Keitaro流量分发系统(TDS)实例的威胁行为者合作分发SocGholish有效载荷。SocGholish加载程序可以下载和执行恶意有效载荷、窃取敏感数据并执行任意命令,为进一步利用和有效载荷部署提供持久访问。
初始访问与执行
SocGholish分发的主要机制涉及几个组件:
- 注入恶意脚本的被入侵网站(T1608.004 - 路过式目标)
- 恶意Keitaro TDS实例(商业流量分发系统)提供SocGholish并过滤来自沙箱和研究人员的不需要流量
- 虚假更新页面诱骗受害者并提供有效载荷
- 包含SocGholish JavaScript有效载荷的ZIP文件
威胁行为者运营的Keitaro TDS实例
Water Scylla与运营恶意Keitaro流量定向系统(TDS)服务器的威胁行为者合作,目的是提供带有SocGholish有效载荷的FakeUpdate页面。
仅2025年的Trend Micro遥测数据就识别出数千个被入侵网站,这些网站注入了指向这些恶意TDS域的脚本,根据访问者的地理位置可能导致SocGholish感染。
初始执行
当用户打开JavaScript文件时(T1204.002:用户执行:恶意文件),Windows脚本宿主(wscript.exe)(T1059.007:命令和脚本解释器:JavaScript)执行加载程序,该程序继续收集有关端点的多条信息。这些信息被发送到C&C服务器以分析环境。
命令与控制、防御规避
我们的调查识别出C&C服务器发送给加载程序执行的数十个任务。这些任务范围从侦察命令到后门组件部署,再到数据窃取。
任务执行由辅助函数支持,包括:
- 去混淆函数,从字符串中提取每第三个字符(T1027.013:加密/编码文件)
- 发送数据到C&C服务器的函数
- 从磁盘读取文件然后删除的函数(T1070.004:主机上的指示器移除:文件删除)
- 生成临时文件路径的函数(T1074.001:数据暂存:本地数据暂存)
- 执行命令并捕获其输出的函数(T1059.003:命令和脚本解释器:Windows命令 shell)
任务执行
当SocGholish运行时,它会向C&C服务器发送信标。任务随后被发送到SocGholish,然后由加载程序执行。每次任务执行时,结果输出被传输到临时文件并发送回C&C服务器。
恶意任务按以下顺序执行:
- 发现和侦察任务
- 凭据访问和窃取任务
- 后门部署和持久化任务
- 反向shell部署任务
- 后续侦察任务以及下载和执行NIRCMD以收集屏幕截图的任务
命令与控制 - 后门部署任务
执行以下任务以在受入侵环境中部署基于Python的后门,以获得持久访问并将连接从攻击者控制的服务器中继到受入侵环境内的机器。
任务包括:
- 下载并安装Python 3.12 (T1059.006:命令和脚本解释器:Python)
- 安装Python PIP
- 安装依赖项并列出目录内容
- 创建计划任务以实现持久性(T1053.005:计划任务/作业:计划任务)
文件pypa.py是一个用pyobfuscate混淆的Python代理客户端。它包含一个硬编码的IP地址和端口,用于与C&C服务器关联的RansomHub(T1095非应用层协议)。
凭据访问和窃取任务
为了收集尽可能多的敏感浏览器数据,威胁行为者搜索默认和额外的浏览器配置文件 - 浏览器存储的内容被窃取。值得注意的是,应用程序绑定的加密密钥从浏览器中提取 - 可能是为了访问位于浏览器存储中的静态加密凭据。
SSH反向shell与端口转发部署
执行多个任务以部署可能与RansomHub相关的反向shell,目的是命令和控制(T1572协议隧道)以及数据窃取(T1041:通过C2通道窃取)。
手动键盘交互
这些命令的时间安排,以及任务执行的重复和执行带有语法错误的命令,表明此阶段涉及手动键盘交互。
SocGholish基础设施
我们对SocGholish C&C基础设施的最新跟踪显示有18个活跃的C&C服务器,其域名至少每周轮换一次 - 域名轮换频率有些波动。新域名可能导致更高的感染成功率。
SocGholish操作员使用被入侵域名作为C&C基础设施,威胁行为者专门创建新的子域名用于SocGholish。这种称为域名影子(domain shadowing)的技术从威胁行为者的角度来看是理想的,因为它使他们能够利用更成熟域名的声誉,这些域名不太可能被自动检测系统阻止。
RansomHub基础设施
由于此集群的目的是为RansomHub启用初始访问,我们的情报团队持续跟踪恶意基础设施,因为它在SocGholish感染后阶段部署使用。我们识别出22个IP地址,分布在各种自治系统(ASN)中,主要位于美国,只有两个分别位于荷兰和德国。
安全建议
安全和事件响应团队必须紧急将SocGholish感染作为关键事件处理,并调用事件响应程序以快速减轻其恶意活动的影响,如后门部署、未经授权访问敏感数据、横向移动、数据窃取和勒索软件驱动的数据破坏。防御者还应应用以下最佳实践:
- 部署安全运营解决方案以快速识别、中断和关联恶意活动
- 通过以下方式减少基于脚本的恶意软件的攻击面:
- 通过基于策略的控制(如组策略对象)阻止可疑的Windows脚本宿主(wscript.exe)和PowerShell执行来强化端点和服务器
- 启用反恶意软件扫描接口事件日志记录以支持调查
- 在端点、云工作负载和代理服务器上部署Web信誉服务(WRS)以检测和阻止恶意和异常流量
- 使用网络入侵检测和预防解决方案以及网络检测和响应(NDR)来获得网络流量的可见性
- 淘汰或显著强化、分段或隔离生命周期结束的操作系统,因为这些系统通过侦察和横向移动战术被对手针对
网站管理员和所有者应注意,易受攻击的内容管理系统(CMS)及其插件系统经常被威胁行为者针对。这是因为它们使网络犯罪分子能够滥用网站来劫持访问者流量,如SocGholish的情况,并分发恶意软件。
使用Trend Vision One™进行主动安全
Trend Vision One™是一个企业网络安全平台,通过整合多个安全功能、实现对