Интрузивный набор Water Scylla использует цепочку атак, которая начинается с компрометации легитимных веб-сайтов и переходит к использованию мошеннических экземпляров системы управления трафиком Keitaro TDS. С 2018 года отслеживаемые Trend Research и Trend Micro, операции получали максимальные детекции SocGholish, особенно в 2025 году в США, затрагивая государственные учреждения, банки и консалтинговые компании.
Основой кампании является платформа Malware-as-a-Service, известная как FakeUpdates, в которой основным элементом служит высокообфусцированный JavaScript-лоадер. Он незаметно скачивает и выполняет дополнительные полезные нагрузки, извлекает данные с заражённых систем и исполняет произвольные команды, обходя традиционные системы обнаружения за счёт применения множества эвристических приёмов.
Взаимосвязь с RansomHub ransomware обеспечивает дальнейшее развитие атаки: SocGholish устанавливает бэкдоры, позволяющие обеспечить постоянный доступ для развёртывания вторичных полезных нагрузок. RansomHub, уступающий по рейтингу лишь группам CL0P и Akira, становится финальным звеном в цепочке заражения, что увеличивает ущерб атакующих для целевых организаций.
Атаки инициируются посредством компрометации веб-сайтов, на которых внедрён вредоносный скрипт, перенаправляющий пользователей на страницу поддельного обновления браузера. Пользователю предлагают скачать ZIP-архив, содержащий SocGholish JavaScript-пейлоад, выполнение которого происходит через Windows Scripting Host (wscript.exe), что позволяет собирать данные о конечном устройстве и выполнять дальнейшие команды с C&C сервера.
Во время начальной фазой заражения лоадер собирает обширную информацию: полное имя скрипта, имя и домен компьютера пользователя, сведения о производителе и модели устройства, версия и серийный номер BIOS, данные об антивирусных и антишпионских продуктах, MAC-адрес, список запущенных процессов и номер сборки операционной системы. Все эти данные передаются на сервер управления для детального профилирования заражённого устройства.
Командно-управляющая инфраструктура инициирует выполнение множества задач: от разведки и развёртывания бэкдоров до экспорта данных. Для обхода сканирующих механизмов применяются функции деобфускации – например, извлечение каждого третьего символа и преобразование строк с именами объектов типа MSXML2.XMLHTTP ActiveXObject, что позволяет обходить AMSI. Дополнительные функции обеспечивают отправку данных на C&C, удаление файлов с диска и генерацию временных путей для хранения результатов.
Подробные примеры команд включают выполнение стандартных утилит: net для получения списка доменных пользователей, nltest для обнаружения доверительных отношений домена, запросы ADSI через PowerShell для извлечения данных Active Directory. В рамках развёртывания Python-бэкдора выполняется установка PIP, создание директории, установка зависимостей и создание запланированной задачи, с последующим запуском скрипта , зашифрованного pyobfuscate, содержащего жестко заданный IP и порт для связи с C&C RansomHub.
В атаках также активно применяются методы доступа к учётным данным и их экспорта: копируются данные входа в Google Chrome и Microsoft Edge (файлы chr.bin, edg.bin), извлекаются зашифрованные ключи из локальных файлов состояний браузеров и производится экспорт данных с помощью certutil – извлечение SAM, SECURITY и SYSTEM из теневых копий тома, что реализуется через короткие файлы в %PROGRAMDATA%. Дополнительно атаки предусматривают развёртывание SSH-реверс-шеллов с переадресацией портов посредством единичных запланированных задач, а также использование SMB для горизонтального перемещения по сети с последующим созданием BAT-файлов, извлекающих зашифрованные ключи.
Тактика, техника и процедуры атаки охватывают целый спектр методов: от Drive-By Target (T1608.004) с внедрением на скомпрометированные сайты до исполнения команд через Windows Command Shell (T1059.003), PowerShell (T1059.001) и Python (T1059.006). При этом злоумышленники активно применяют методы обфускации (T1027.013), удаления индикаторов компрометации (T1070.004) и экспорта данных через локальное хранение (T1074.001), добывая сведения о системах и учётных записях через утилиты net, ipconfig, ADSI и другие инструменты.
Инфраструктура SocGholish включает 18 активных C&C серверов с доменами, подверженными ротации не реже одного раза в неделю посредством теневого копирования на авторитетных, но скомпрометированных доменах. Относительно RansomHub зафиксировано использование 22 IP-адресов из различных ASN, преимущественно в США, с отдельными точками присутствия в Нидерландах и Германии, что подчёркивает глобальный масштаб угрозы.
Рекомендации по защите требуют немедленных мер со стороны служб информационной безопасности: заражения SocGholish следует расценивать как критические инциденты, требующие активации процедур реагирования на инциденты, направленных на ликвидацию бэкдоров, пресечение несанкционированного доступа к данным, ограничение латеральных перемещений и предотвращение дальнейшей утечки данных. Настоятельно рекомендуется использовать расширенные решения для обнаружения и реагирования, укреплять конечные точки, улучшать логирование и сетевой мониторинг, применять услуги репутации веб-сайтов, а также изолировать устаревшие системы для снижения уязвимостей.
Изображение носит иллюстративный характер
Основой кампании является платформа Malware-as-a-Service, известная как FakeUpdates, в которой основным элементом служит высокообфусцированный JavaScript-лоадер. Он незаметно скачивает и выполняет дополнительные полезные нагрузки, извлекает данные с заражённых систем и исполняет произвольные команды, обходя традиционные системы обнаружения за счёт применения множества эвристических приёмов.
Взаимосвязь с RansomHub ransomware обеспечивает дальнейшее развитие атаки: SocGholish устанавливает бэкдоры, позволяющие обеспечить постоянный доступ для развёртывания вторичных полезных нагрузок. RansomHub, уступающий по рейтингу лишь группам CL0P и Akira, становится финальным звеном в цепочке заражения, что увеличивает ущерб атакующих для целевых организаций.
Атаки инициируются посредством компрометации веб-сайтов, на которых внедрён вредоносный скрипт, перенаправляющий пользователей на страницу поддельного обновления браузера. Пользователю предлагают скачать ZIP-архив, содержащий SocGholish JavaScript-пейлоад, выполнение которого происходит через Windows Scripting Host (wscript.exe), что позволяет собирать данные о конечном устройстве и выполнять дальнейшие команды с C&C сервера.
Во время начальной фазой заражения лоадер собирает обширную информацию: полное имя скрипта, имя и домен компьютера пользователя, сведения о производителе и модели устройства, версия и серийный номер BIOS, данные об антивирусных и антишпионских продуктах, MAC-адрес, список запущенных процессов и номер сборки операционной системы. Все эти данные передаются на сервер управления для детального профилирования заражённого устройства.
Командно-управляющая инфраструктура инициирует выполнение множества задач: от разведки и развёртывания бэкдоров до экспорта данных. Для обхода сканирующих механизмов применяются функции деобфускации – например, извлечение каждого третьего символа и преобразование строк с именами объектов типа MSXML2.XMLHTTP ActiveXObject, что позволяет обходить AMSI. Дополнительные функции обеспечивают отправку данных на C&C, удаление файлов с диска и генерацию временных путей для хранения результатов.
Подробные примеры команд включают выполнение стандартных утилит: net для получения списка доменных пользователей, nltest для обнаружения доверительных отношений домена, запросы ADSI через PowerShell для извлечения данных Active Directory. В рамках развёртывания Python-бэкдора выполняется установка PIP, создание директории, установка зависимостей и создание запланированной задачи, с последующим запуском скрипта , зашифрованного pyobfuscate, содержащего жестко заданный IP и порт для связи с C&C RansomHub.
В атаках также активно применяются методы доступа к учётным данным и их экспорта: копируются данные входа в Google Chrome и Microsoft Edge (файлы chr.bin, edg.bin), извлекаются зашифрованные ключи из локальных файлов состояний браузеров и производится экспорт данных с помощью certutil – извлечение SAM, SECURITY и SYSTEM из теневых копий тома, что реализуется через короткие файлы в %PROGRAMDATA%. Дополнительно атаки предусматривают развёртывание SSH-реверс-шеллов с переадресацией портов посредством единичных запланированных задач, а также использование SMB для горизонтального перемещения по сети с последующим созданием BAT-файлов, извлекающих зашифрованные ключи.
Тактика, техника и процедуры атаки охватывают целый спектр методов: от Drive-By Target (T1608.004) с внедрением на скомпрометированные сайты до исполнения команд через Windows Command Shell (T1059.003), PowerShell (T1059.001) и Python (T1059.006). При этом злоумышленники активно применяют методы обфускации (T1027.013), удаления индикаторов компрометации (T1070.004) и экспорта данных через локальное хранение (T1074.001), добывая сведения о системах и учётных записях через утилиты net, ipconfig, ADSI и другие инструменты.
Инфраструктура SocGholish включает 18 активных C&C серверов с доменами, подверженными ротации не реже одного раза в неделю посредством теневого копирования на авторитетных, но скомпрометированных доменах. Относительно RansomHub зафиксировано использование 22 IP-адресов из различных ASN, преимущественно в США, с отдельными точками присутствия в Нидерландах и Германии, что подчёркивает глобальный масштаб угрозы.
Рекомендации по защите требуют немедленных мер со стороны служб информационной безопасности: заражения SocGholish следует расценивать как критические инциденты, требующие активации процедур реагирования на инциденты, направленных на ликвидацию бэкдоров, пресечение несанкционированного доступа к данным, ограничение латеральных перемещений и предотвращение дальнейшей утечки данных. Настоятельно рекомендуется использовать расширенные решения для обнаружения и реагирования, укреплять конечные точки, улучшать логирование и сетевой мониторинг, применять услуги репутации веб-сайтов, а также изолировать устаревшие системы для снижения уязвимостей.
