أعلنت السلطات الهولندية بالتعاون مع نظرائها في كندا وألمانيا والولايات المتحدة عن نجاح عملية Endgame في تعطيل البنية التحتية الخبيثة المرتبطة ببرمجية SocGholish، وتنظيف ما يقارب 15 ألف موقع ووردبريس مصاب.
وقال مايكل رولمان من وحدة الجرائم التقنية الفائقة في هولندا: “بهذه الإجراءات نحرم المجرمين الإلكترونيين من الوصول إلى الأنظمة المصابة، ونمنع المزيد من الأضرار ونحد من انتشار البرمجيات الخبيثة”.
خلفية البرمجية: من FakeUpdates إلى بوابة للهجمات الكبرى
SocGholish، المعروفة أيضًا باسم FakeUpdates، هي برمجية خبيثة قائمة على JavaScript ظهرت منذ عام 2017. تعمل كأداة تنزيل أولية تُستخدم لاحقًا لنشر برمجيات أكثر خطورة مثل LockBit وDridex وRaspberry Robin، وتُستغل من قبل مجموعات تهديد بارزة مثل Evil Corp وRansomHub.
تنتشر هذه البرمجية عبر مواقع مخترقة تتظاهر بتقديم تحديثات لمتصفحات شهيرة مثل Chrome وFirefox، ما يمنحها موطئ قدم أولي في أجهزة الضحايا لتشكيل شبكات بوت نت تُستخدم لاحقًا في حملات الفدية والتجسس.
أساليب العدوى والتوزيع عبر TDS
وفقًا لتحليلات شركات الأمن، تعتمد SocGholish على نموذج توزيع متعدد الطبقات يشمل:
- الاستحواذ على حركة المرور عبر مواقع مخترقة أو شركاء تابعين.
- تصفية الزوار باستخدام أنظمة توزيع الحركة (TDS) مثل TA2726 وParrot TDS.
- إغراء الضحايا عبر صفحات مزيفة تدّعي تقديم تحديثات أو تسجيل دخول.
- تنفيذ الحمولة على أجهزة الضحايا، ما يفتح الباب أمام برمجيات إضافية مثل AsyncRAT وNetSupport RAT.
تُستخدم تقنية Domain Shadowing أيضًا، حيث يستولي المهاجمون على حسابات النطاقات الشرعية لإنشاء نطاقات فرعية خبيثة تختبئ ضمن البنية الشرعية للمواقع.
حجم الاستهداف والقطاعات المتأثرة
بيانات مؤسسة Shadowserver أظهرت أن معظم المواقع المخترقة تقع في الولايات المتحدة، تليها ألمانيا وفرنسا والهند والبرازيل وسنغافورة وإيطاليا وإندونيسيا وكندا وفيتنام.
أما القطاعات الأكثر استهدافًا فتشمل: الحكومة، التعليم، البنوك، الرعاية الصحية، الخدمات المالية، شركات الاستشارات التقنية، المرافق، التأمين، والنقل.
هذا التنوع يؤكد أن SocGholish ليست تهديدًا محدودًا بقطاع واحد، بل خطر واسع النطاق يمتد إلى بيئات عامة وتجارية على حد سواء.
أهمية العملية وتداعياتها
عملية Endgame التي انطلقت عام 2024 تهدف إلى تفكيك شبكات البوت نت والبنى التحتية الإجرامية المرتبطة بها. تعطيل 106 خوادم مرتبطة بـ SocGholish وتنظيف آلاف المواقع يمثل خطوة استراتيجية لتقليص قدرة المهاجمين على استغلال الأنظمة المصابة في هجمات مستقبلية.
لكن الخبراء يحذرون من أن المجرمين سيواصلون البحث عن طرق بديلة، ما يجعل تحديث أنظمة إدارة المحتوى، تغيير بيانات الاعتماد، وتفعيل المصادقة متعددة العوامل إجراءات ضرورية لحماية المؤسسات والمستخدمين.































