Добавление более 70 серверов позволяет хакерам оставаться в системе даже после блокировки.
Согласно Для просмотра ссылки Войди
SocGholish позволяет злоумышленникам проводить разведку системы и сети, устанавливать постоянство и развертывать дополнительные инструменты и вредоносные программы, такие как RAT-троян NetSupport , а также программы-вымогатели.
Исследователи Sentinel Labs отмечают, что операторы SocGholish с середины 2022 года вводили в среднем 18 новых серверов второго уровня в месяц. В период с июля по октябрь 2022 года они добавили 73 новых сервера второго уровня. По сравнению с первой половиной 2022 года (3,5 сервера в месяц), увеличение составило 334%. Серверы работали в течение периодов разной продолжительности, охватывающих дни, недели и месяцы.
Введение новых серверов помогает операторам SocGholish противодействовать операциям ИБ-специалистов. Обнаружение сетевого трафика и последующее занесение серверов в черный список на уровне конечной точки или сети теперь не будет серьезно нарушать работу злоумышленников.
Кроме того, большинство новых серверов расположены в Европе, причем 28 из 73 серверов размещены в Нидерландах.
Эксперты заявили, что многие из серверов размещены в теневых скомпрометированных доменах, созданных злоумышленниками. Теневое копирование легитимных доменов позволяет операторам SocGholish использовать хорошую репутацию захваченных доменов, чтобы избежать обнаружения.
- Источник новости
- https://www.securitylab.ru/news/534691.php