경찰, Evil Corp 연계 SocGholish 감염 사이트 1만5천여 개 청소
국제 법 집행 기관들은 약 1만5천 개에 달하는 워드프레스 웹사이트에 감염된 악성 코드를 청소하고, SocGholish 봇넷과 러시아 Evil Corp 해킹 조직과 연계된 100개 이상의 서버를 폐쇄했습니다.
이 공동 작업(유럽 연합(Europol)과 유럽 연합(Eurojust) 지원)을 Operation Endgame이라고 하는 주요 법 집행 작전이 사이버 범죄를 타깃으로 삼으며, Evil Corp와 연계된 핵심 감염 사슬을 차단하는 데 집중하고 있습니다.
네덜란드(NHCTU), 캐나다(RCMP), 미국(FBI), 독일(BKA) 당국은 SocGholish 악성 코드 감염이 발견된 1만4,971개의 손상된 워드프레스 웹사이트에서 악성 코드를 청소하고 106개 서버와 도메인을 차단했습니다.
네덜란드 경찰은 감염된 사이트에서 악성 코드와 백도어를 제거했으며, 웹사이트 관리자에게Credential(인증 정보) 변경을 권고하고, 다중 인증(MFA)을 활성화하며, 알 수 없는 WordPress 계정을 삭제하고 워드프레스 사이트를 최신 상태로 유지하라고 조언했습니다.
“With these actions we deprive cybercriminals of access to infected computer systems. This prevents further damage to the digital systems of citizens, businesses and organizations worldwide and limits the spread of malware,” said Maikel Rollman (https://www.politie.nl/en/news/2026/juni/18/11-international-law-enforcement-initiate-hunt-on-malware-group-socgholish.html), of the Netherlands’ National High Tech Crime Unit.
“이러한 조치를 통해 우리는 해커들이 감염된 컴퓨터 시스템에 접근할 수 없게 차단합니다. 이를 통해 전 세계 시민, 기업 및 조직의 디지털 시스템에 추가 피해를 입히고 악성 코드의 확산을 제한할 수 있습니다,” 마이켈 롤만, 네덜란드 국립 고등 기술 범죄 부서가 말했습니다.
이 조치는 이러한 시스템이 핵심 인프라 및 기타 필수 사회 프로세스를 대상으로 한 사이버 공격을 수행하는 위험을 줄여줍니다. 이는 SocGholish에 대한 추가 조치의 시작을 의미합니다.
SocGholish는 JavaScript 기반 악성 코드 다운로더(또는 FakeUpdates, GhoLoader)로도 추적되며, 2017년 이후 사용되어 왔습니다. 이 악성 코드는 주로 WordPress 사이트를 장악하고 방문자들에게 가짜 브라우저 업데이트로 위장된 악성 페이로드를 다운로드하도록 유인합니다.
사용자가 악성 업데이트를 설치하면 악성 코드가 공격자와 연결을 열어 감염된 시스템에 대한 접근 권한을 부여합니다. SocGholish는 Dridex, Doppelpaymer, Empire, Koadic, Chtonic, Azorult 등 다른 악성 코드 가족도 배포하는 데 사용되었습니다.
이 악성 코드는 이전에 Evil Corp이라는 2007년부터 활동해 온 러시아 해킹 조직과 연관되어 있으며, Zeus 및 Dridex 악성 코드 가족과 연계되어 왔습니다. 또한 WastedLocker, Hades, Macaw Locker, Phoenix CryptoLocker 랜섬웨어 운영을 주도한 것으로 알려졌습니다.
“이 조치는 SocGholish에 대한 추가 조치의 시작을 의미합니다,” 롤만은 오늘 공개된 보도자료에서 덧붙였습니다.
11월, Operation Endgame의 일환으로 법 집행 기관들은 Rhadamanthys, VenomRAT, Elysium 봇넷 악성 코드 운영에 사용된 1,000개 이상의 서버를 차단했습니다.
과거에 Operation Endgame은 랜섬웨어 인프라, Smokeloader 봇넷 고객 및 서버, AVCheck 사이트, 그리고 DanaBot, IcedID, Pikabot, Trickbot, Smokeloader, Bumblebee, SystemBC 등 다양한 주요 악성 코드 운영을 타깃으로 삼았습니다.
보안 팀은 성공적인 공격의 54%를 로깅하고, 단지 14%만 알림으로 보고합니다. 나머지는 여러분이 감지하지 못하는 환경 내에서 조용히 진행됩니다. Picus 백서에서는 침해 및 공격 시뮬레이션이 SIEM과 EDR 규칙을 테스트하여 위협이 탐지되지 않도록 방지한다는 내용을 보여줍니다.