MinhSec
Writer
Một nghiên cứu mới từ Trustwave SpiderLabs, công ty con của LevelBlue, vừa tiết lộ quy mô và mức độ nguy hiểm của SocGholish nền tảng Malware-as-a-Service (MaaS) đang được các nhóm tin tặc như Evil Corp và RansomHub sử dụng để xâm nhập trang web, đánh cắp dữ liệu và phát động các cuộc tấn công trên toàn cầu.
SocGholish, còn được biết đến với tên FakeUpdates, biến những bản cập nhật phần mềm tưởng chừng vô hại thành “chiếc bẫy” phát tán mã độc. Được điều hành bởi nhóm tin tặc TA569, nền tảng này đã hoạt động từ năm 2017, thường nhắm vào các trang web WordPress có lỗ hổng bảo mật. Sau khi chiếm quyền truy cập, tin tặc chèn mã độc vào các bản cập nhật giả mạo như trình duyệt hoặc Flash Player để lừa người dùng tải về tệp nhiễm mã độc.
Ngoài ra, TA569 còn áp dụng kỹ thuật Domain Shadowing tạo các tên miền phụ độc hại trên trang web hợp pháp để tránh bị phát hiện. Cách làm này biến những trang web tưởng chừng an toàn thành công cụ phát tán phần mềm độc hại trên quy mô lớn.
Theo báo cáo, TA569 vận hành SocGholish như một nền tảng cho thuê, cho phép các nhóm tội phạm mạng khác trả tiền để sử dụng hệ thống lây nhiễm có sẵn. Với mô hình này, chúng trở thành một “nhà môi giới truy cập ban đầu” (IAB) bán quyền xâm nhập vào mạng lưới bị lây nhiễm để người mua triển khai mã độc riêng, thường là ransomware hoặc công cụ đánh cắp dữ liệu.
Một trong những khách hàng đáng chú ý nhất của SocGholish là Evil Corp, tổ chức tội phạm mạng khét tiếng của Nga. Gần đây, nền tảng này còn bị phát hiện hỗ trợ RansomHub, nhóm đã gây ra hàng loạt vụ tấn công nhằm vào các cơ sở y tế ở Mỹ đầu năm 2025. Cụ thể, RansomHub từng sử dụng quảng cáo Google Ads giả mạo cổng nhân sự của Kaiser Permanente để phát tán mã độc, dẫn đến các vụ tấn công sau đó vào Change Healthcare và Rite Aid.
Các chuyên gia của Trustwave cũng phát hiện dấu vết cho thấy có liên hệ với cơ quan tình báo quân sự Nga (GRU Unit 29155), khi phần mềm độc hại Raspberry Robin do GRU phát triển được phân phối thông qua mạng lưới của SocGholish.
Theo nhà phân tích Cris Tomboc, mối đe dọa này đã “biến cơ sở hạ tầng web đáng tin cậy thành công cụ lây nhiễm quy mô toàn cầu”, làm nổi bật mức độ tinh vi và khả năng thích ứng của SocGholish. Với việc sử dụng các hệ thống phân phối lưu lượng (TDS) như Keitaro và Parrot, kẻ tấn công có thể lọc nạn nhân theo vị trí hoặc thiết bị, chỉ nhắm vào mục tiêu mong muốn.
SocGholish không chỉ phát tán ransomware như LockBit và RansomHub, mà còn truyền đi Trojan truy cập từ xa (RAT) như AsyncRAT cùng hàng loạt công cụ đánh cắp dữ liệu khác. Từ một bản cập nhật phần mềm tưởng chừng vô hại, người dùng có thể trở thành nạn nhân của một chuỗi tấn công toàn cầu được tổ chức bài bản và mang động cơ tài chính khổng lồ.
hackread.com
SocGholish, còn được biết đến với tên FakeUpdates, biến những bản cập nhật phần mềm tưởng chừng vô hại thành “chiếc bẫy” phát tán mã độc. Được điều hành bởi nhóm tin tặc TA569, nền tảng này đã hoạt động từ năm 2017, thường nhắm vào các trang web WordPress có lỗ hổng bảo mật. Sau khi chiếm quyền truy cập, tin tặc chèn mã độc vào các bản cập nhật giả mạo như trình duyệt hoặc Flash Player để lừa người dùng tải về tệp nhiễm mã độc.
Ngoài ra, TA569 còn áp dụng kỹ thuật Domain Shadowing tạo các tên miền phụ độc hại trên trang web hợp pháp để tránh bị phát hiện. Cách làm này biến những trang web tưởng chừng an toàn thành công cụ phát tán phần mềm độc hại trên quy mô lớn.
“Dịch vụ” cho thuê mã độc và hậu quả nghiêm trọng với ngành y tế
Theo báo cáo, TA569 vận hành SocGholish như một nền tảng cho thuê, cho phép các nhóm tội phạm mạng khác trả tiền để sử dụng hệ thống lây nhiễm có sẵn. Với mô hình này, chúng trở thành một “nhà môi giới truy cập ban đầu” (IAB) bán quyền xâm nhập vào mạng lưới bị lây nhiễm để người mua triển khai mã độc riêng, thường là ransomware hoặc công cụ đánh cắp dữ liệu.
Một trong những khách hàng đáng chú ý nhất của SocGholish là Evil Corp, tổ chức tội phạm mạng khét tiếng của Nga. Gần đây, nền tảng này còn bị phát hiện hỗ trợ RansomHub, nhóm đã gây ra hàng loạt vụ tấn công nhằm vào các cơ sở y tế ở Mỹ đầu năm 2025. Cụ thể, RansomHub từng sử dụng quảng cáo Google Ads giả mạo cổng nhân sự của Kaiser Permanente để phát tán mã độc, dẫn đến các vụ tấn công sau đó vào Change Healthcare và Rite Aid.
Các chuyên gia của Trustwave cũng phát hiện dấu vết cho thấy có liên hệ với cơ quan tình báo quân sự Nga (GRU Unit 29155), khi phần mềm độc hại Raspberry Robin do GRU phát triển được phân phối thông qua mạng lưới của SocGholish.
Theo nhà phân tích Cris Tomboc, mối đe dọa này đã “biến cơ sở hạ tầng web đáng tin cậy thành công cụ lây nhiễm quy mô toàn cầu”, làm nổi bật mức độ tinh vi và khả năng thích ứng của SocGholish. Với việc sử dụng các hệ thống phân phối lưu lượng (TDS) như Keitaro và Parrot, kẻ tấn công có thể lọc nạn nhân theo vị trí hoặc thiết bị, chỉ nhắm vào mục tiêu mong muốn.
SocGholish không chỉ phát tán ransomware như LockBit và RansomHub, mà còn truyền đi Trojan truy cập từ xa (RAT) như AsyncRAT cùng hàng loạt công cụ đánh cắp dữ liệu khác. Từ một bản cập nhật phần mềm tưởng chừng vô hại, người dùng có thể trở thành nạn nhân của một chuỗi tấn công toàn cầu được tổ chức bài bản và mang động cơ tài chính khổng lồ.
SocGholish Malware Using Compromised Sites to Deliver Ransomware
Follow us on Bluesky, Twitter (X), Mastodon and Facebook at @Hackread
hackread.com
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
