Thought Leadership
Im Rahmen der Operation Endgame haben internationale Behörden knapp 15.000 kompromittierte WordPress-Websites vom SocGholish-Schadcode befreit.
Ein internationales Bündnis von Strafverfolgungsbehörden hat im Rahmen der fortlaufenden Operation Endgame die Infrastruktur des Schadsoftware-Netzwerks SocGholish angegriffen. An dem koordinierten Einsatz waren Ermittler aus den Niederlanden, Kanada, den Vereinigten Staaten und Deutschland beteiligt, unterstützt durch Europol und Eurojust. Den Behörden gelang es, Schadcode und Hintertüren von insgesamt 14.971 kompromittierten Webseiten, überwiegend WordPress-Präsenzen, zu entfernen. Gleichzeitig wurden 106 Server und Domains abgeschaltet, die für die Steuerung des Botnetzes und die Verteilung der Schadsoftware genutzt wurden. Maikel Rollman von der nationalen High-Tech-Kriminalitätseinheit der niederländischen Polizei erklärte dazu:
„Mit diesen Maßnahmen entziehen wir Cyberkriminellen den Zugriff auf infizierte Computersysteme. Dies verhindert weiteren Schaden an den digitalen Systemen von Bürgern, Unternehmen und Organisationen weltweit und schränkt die Verbreitung von Malware ein.“
Maikel Rollman von der nationalen High-Tech-Kriminalitätseinheit der niederländischen Polizei
Funktionsweise der gefälschten Browser-Updates für WordPress
Das Schadprogramm SocGholish, das auch unter den Bezeichnungen FakeUpdates oder GhoLoader bekannt ist, wird seit dem Jahr 2017 für Cyberangriffe eingesetzt. Die Täter manipulieren legitime Internetseiten, bei denen es sich mehrheitlich um WordPress-Präsenzen handelt. Besuchen Anwender eine solche kompromittierte Seite, werden sie durch manipulierte Pop-up-Meldungen dazu verleitet, ein angebliches Update für ihren Webbrowser herunterzuladen. Sobald ein Nutzer diese schadhafte Datei ausführt, stellt das Programm eine Verbindung zu den Servern der Angreifer her. Dadurch erhalten die Kriminellen unbefugten Zugriff auf das infizierte Computersystem.
Verbindung zur russischen Gruppierung Evil Corp
Die Infrastruktur von SocGholish dient als sogenannter Initial Access Broker. Das bedeutet, dass der erlangte Erstzugang zu Systemen genutzt oder an andere Kriminelle verkauft wird, um weitere Schadsoftware nachzuladen. Das Netzwerk wird der russischen Cybercrime-Vereinigung Evil Corp zugerechnet, die seit 2007 active ist. Über die Infektionskette wurden in der Vergangenheit verschiedene Schadprogramm-Familien wie Dridex und Doppelpaymer sowie Ransomware-Varianten wie WastedLocker, Hades und Phoenix CryptoLocker auf den Geräten der Opfer platziert.
Die niederländische Polizei riet den Betreibern der bereinigten Webseiten, umgehend ihre Zugangsdaten zu ändern, eine Mehrfaktor-Authentifizierung zu aktivieren, unbekannte Benutzerkonten im CMS zu löschen und die installierte Software vollständig zu aktualisieren.
(red)
