Cơ sở hạ tầng tội phạm đứng sau SocGholish, một trong những framework malware dai dẳng nhất hoạt động từ năm 2017, đã bị triệt phá. Hoạt động này đã tịch thu 106 máy chủ và 101 tên miền, đồng thời khắc phục gần 15.000 website bị lây nhiễm trên toàn cầu.
Triệt phá hạ tầng SocGholish: Chiến dịch Quốc tế
Cuộc tấn công phối hợp này là một phần của Operation Endgame, khởi động năm 2024 và được công nhận là chiến dịch quốc tế lớn nhất từng được tiến hành chống lại ransomware và tội phạm mạng. Hoạt động này nhằm vào các chiến dịch tấn công mạng lớn.
Các cơ quan thực thi pháp luật từ Hà Lan (NHTCU), Canada (RCMP), Hoa Kỳ (FBI) và Đức (BKA), với sự hỗ trợ từ Europol và Eurojust, đã tiến hành một tuần hành động chung nhằm làm tê liệt mạng botnet của SocGholish bằng cách tịch thu máy chủ và chiếm quyền kiểm soát các tên miền độc hại.
“Với những hành động này, chúng ta tước đoạt quyền tiếp cận các hệ thống máy tính bị nhiễm của tội phạm mạng. Điều này ngăn chặn thiệt hại tiếp tục xảy ra đối với các hệ thống kỹ thuật số của công dân, doanh nghiệp và tổ chức trên toàn thế giới,” Maikel Rollman từ Đơn vị Tội phạm Công nghệ Cao Quốc gia (NHTCU) cho biết. “Đây đánh dấu sự khởi đầu của các hành động tiếp theo chống lại SocGholish.”
SocGholish: Phương thức hoạt động và Tác động
SocGholish, còn được biết đến rộng rãi là “FakeUpdates”, là một framework malware JavaScript tinh vi nhắm mục tiêu vào những người truy cập các trang web hợp pháp bị xâm nhập. Tội phạm mạng chèn mã JavaScript độc hại vào các trang web WordPress bị hack.
Chúng trình bày cho người dùng các cửa sổ bật lên giả mạo cập nhật trình duyệt thuyết phục. Khi nạn nhân tải xuống và thực thi tệp cập nhật giả mạo, malware sẽ thiết lập kết nối backdoor đến hạ tầng do kẻ tấn công kiểm soát. Điều này cho phép triển khai các Remote Access Trojans (RATs), infostealers, Cobalt Strike beacons, và các chủng ransomware nhắm vào cơ sở hạ tầng quan trọng.
WordPress, nền tảng của hơn 43% website trên internet, tạo ra một bề mặt tấn công khổng lồ. Trong chiến dịch này, thông tin đăng nhập từ 1,4 triệu trang web WordPress được tìm thấy đã bị rò rỉ, khiến chúng rất dễ bị lây nhiễm SocGholish.
Cơ quan chức năng xác nhận 14.971 website, bao gồm cả các nhà hàng và gara ô tô cung cấp dịch vụ hàng ngày, đã bị lây nhiễm tích cực và hiện đã được khắc phục. Danh sách các nguồn đáng tin cậy cung cấp thông tin chi tiết về chiến dịch bao gồm các tổ chức như CISA và NVD.
Các bước khắc phục và Phòng ngừa
Cảnh sát Hà Lan đã gỡ bỏ các backdoor và malware khỏi tất cả các trang web WordPress bị nhiễm được xác định và thông báo cho chủ sở hữu bị ảnh hưởng thông qua các nền tảng như HaveIBeenPwned, DIVD, Spamhaus, CheckjeHack, NoMoreLeaks, The Shadowserver Foundation và NCSC Hà Lan.
Các chủ sở hữu trang web WordPress bị ảnh hưởng được khuyến khích mạnh mẽ thực hiện các hành động sau:
- Thay đổi tất cả mật khẩu quản trị viên, người dùng và FTP.
- Kiểm tra các plugin và chủ đề không xác định hoặc không mong muốn.
- Cập nhật hệ thống WordPress, plugin và chủ đề lên phiên bản mới nhất.
- Triển khai xác thực hai yếu tố (2FA) cho tất cả các tài khoản quản trị viên.
SocGholish có liên quan đến Evil Corp, nhóm tội phạm mạng của Nga trước đây chịu trách nhiệm cho các chiến dịch malware ngân hàng Zeus và Dridex, và bị tình nghi trong nhiều hoạt động ransomware và rửa tiền quy mô lớn. Trung tâm An ninh Mạng đã xác định SocGholish là trình tải xuống malware hàng đầu, chiếm 60% tổng số các cuộc tấn công như vậy trên toàn cầu. Đây là một mối đe dọa cần được giám sát chặt chẽ.
Người dùng có thể tự bảo vệ mình bằng cách không bao giờ tin tưởng các cửa sổ bật lên trình duyệt không được yêu cầu yêu cầu cập nhật phần mềm. Luôn tải xuống các bản cập nhật độc quyền từ cài đặt hệ thống chính thức hoặc cửa hàng ứng dụng và đảm bảo phần mềm chống vi-rút luôn hoạt động và được cập nhật.
Các bản cập nhật hợp pháp không bao giờ sử dụng thông điệp báo động, gây áp lực cao đòi hỏi hành động ngay lập tức. Việc theo dõi các cảnh báo CVE và áp dụng các bản vá bảo mật kịp thời là cực kỳ quan trọng.
Tương lai của Operation Endgame
Operation Endgame tiếp tục mở rộng phạm vi hoạt động. Cơ quan thực thi pháp luật báo hiệu rằng việc triệt phá này không phải là một kết thúc mà là một điểm khởi đầu cho các hành động thực thi có mục tiêu tiếp theo đối với các nhà điều hành SocGholish và các mạng lưới tội phạm mạng liên quan.
Nỗ lực này nhấn mạnh tầm quan trọng của hợp tác quốc tế trong việc đối phó với các mối đe dọa mạng ngày càng phức tạp. Việc ngăn chặn các chiến dịch tấn công mạng như SocGholish là ưu tiên hàng đầu để đảm bảo an toàn thông tin cho người dùng và tổ chức.
