SocGholish, actief sinds 2018, gebruikt sterk verhulde JavaScript-loaders om traditionele beveiligingscontroles te omzeilen. De malware kaapt het webverkeer via Keitaro, een commercieel traffic distribution system (TDS), dat beveiligingsonderzoekers filtert en nietsvermoedende slachtoffers naar met malware geïnfecteerde updates leidt. Zodra het wordt uitgevoerd, installeert de malware Python-gebaseerde backdoors, waardoor RansomHub-affiliates toegang krijgen tot systemen, gevoelige gegevens kunnen exfiltreren en ransomware kunnen implementeren.
Een cruciale tactiek binnen deze campagne is “domain shadowing”, waarbij aanvallers kwaadaardige subdomeinen aanmaken onder legitieme websites om detectie te ontwijken. Trend Micro-onderzoekers stellen vast dat de schaal van deze aanval groter is dan eerdere SocGholish-operaties, met ten minste 2.500 gecompromitteerde domeinen.
Naast ransomware wordt SocGholish ook gebruikt om infostealer-malware voor Windows, Android en macOS te verspreiden. Cybersecurity-experts waarschuwen dat de combinatie van gecompromitteerde vertrouwde websites, geavanceerde sandbox-ontwijkingstechnieken en Keitaro’s traffic distribution SocGholish-infecties bijzonder gevaarlijk maakt. Organisaties wordt aangeraden om geavanceerde detectie- en responsoplossingen (XDR) te implementeren en het uitvoeren van PowerShell te beperken om deze dreigingen te minimaliseren.
Source: Cybersecurity Dive
De European Cyber Intelligence Forum is een non-profit denktank gespecialiseerd in inlichtingen en cybersecurity en biedt adviesdiensten aan overheidsinstanties. Om potentiële bedreigingen te beperken, is het belangrijk om aanvullende cybersecuritymaatregelen te implementeren met behulp van een betrouwbare partner zoals INFRA www.infrascan.net, of je kunt zelf proberen met check.website.