Danimarka, Almanya ve ABD gibi ülkelerin yasa uygulayıcıları, SocGholish ile bağlantılı zararlı altyapıyı etkisiz hale getirerek yaklaşık 15,000 WordPress web sitesini temizledi. Bu tür eylemler, siber suçluların erişimini kısıtlayarak kullanıcıların dijital sistemlerini koruma amacı taşımaktadır.
Saldırı Nasıl Çalışıyor?
SocGholish, 2017’den bu yana faaliyet gösteren ve FakeUpdates olarak da bilinen, JavaScript (JS) tabanlı bir downloader zararlıdır. Genelde, Google Chrome veya Mozilla Firefox gibi popüler yazılımların sahte güncellemeleri aracılığıyla dağıtılmaktadır. Bu zararlı, çeşitli tehdit aktörleri tarafından kullanılan bir yöntem olarak öne çıkmaktadır ve EVIL Corp (DEV-0243, Indrik Spider ve UNC2165), LockBit, RansomHub, Dridex ve Raspberry Robin gibi gruplarla bağlantılıdır.
Zararlı, genellikle şu şekillerde dağıtılmaktadır:
- Otomatik güncellemeler şeklinde görünen sahte bildirimlerle değiştirilen web siteleri.
- Doğrudan enjekte edilen zararlı yükler veya ara bir .js dosyası kullanarak yüklenen zararlı içerikler.
Etkilenen Sistemler
Yapılan son operasyon sonucunda, 106 SocGholish ile bağlantılı sunucu kapatıldı ve 14,971 WordPress sitesi zararlardan arındırıldı. Bu süreç, Operation Endgame adı verilen uluslararası bir girişimin parçasıdır. Söz konusu operasyon sırasında web sitesi sahiplerine şunlar önerildi:
- İçerik yönetim sistemlerini (CMS) güncellemeleri.
- Kredilerini değiştirmeleri.
- Şüpheli hesapları silmeleri.
Shadowserver Foundation, etkilenen WordPress örneklerinin büyük çoğunluğunun Amerika Birleşik Devletleri’nde bulunduğunu, ardından Almanya, Fransa, Hindistan, Brezilya, Singapur, İtalya, Endonezya, Kanada ve Vietnam geldiğini bildirdi.
Çözüm ve Korunma
Bu saldırılarla mücadele etmek için aşağıdaki adımlar önerilmektedir:
- Kendi Web Sitelerinizi Güncelleyin: Kullanımda olan CMS ve yazılımlarınızı güncel tutun.
- Güçlü Şifreler Kullanın: Tüm sistemlerde güçlü ve benzersiz şifreler belirleyin.
- Web sitenizin güvenlik açıklarını düzenli olarak tarayın.
- Şüpheli Hesapları Silin: Bilgisayarınızdaki veya web sitenizdeki şüpheli hesapları kontrol edin ve silin.
Sonuç olarak, SocGholish’in etkilerinden korunmak için web sitenizi ve bağlı sistemlerinizi sürekli izlemek ve güncellemelisiniz. Bu tür tehditlerin yayılmasını önlemek için proaktif bir yaklaşım benimsemek, sistemlerinizin güvenliğini artıracaktır.
