SocGholish清剿：1.5万WordPress网站被清理，106个C&C服务器被摧毁

资讯专家

多方执法力量联合行动（Operation Endgame）成功打击了长期活跃的SocGholish（又名FakeUpdates）恶意软件框架，清理了近15,000个受感染的WordPress网站，并摧毁了106个命令与控制（C&C）服务器。

SocGholish自2017年起持续活跃，是一种基于JavaScript的恶意软件投放器，通过已知漏洞或窃取凭证注入WordPress、Joomla、Drupal等CMS网站。一旦用户访问被感染的网页，脚本会伪造浏览器更新提示，诱骗用户下载恶意载荷，包括Gholoader、MintsLoader、GhostWeaver PowerShell后门、LockBit和RansomHub勒索软件、AsyncRAT及NetSupport RAT等。

该框架由俄语威胁行为者TA569（亦称DEV-0206、Gold Prelude、Mustard Tempest、UNC1543）运营，该团伙充当初始访问代理，并与臭名昭著的Evil Corp犯罪组织（据信与俄罗斯情报部门有关联）存在联系。TA569曾不分目标地入侵包括主流媒体和零售网站在内的各类站点，每日影响数百万用户。

据Infoblox数据，今年约有55%的云客户曾暴露于SocGholish威胁之下，风险等级极高。ShadowServer基金会5月统计数据更显示，当时存在超过144万被用于SocGholish活动的受感染WordPress网站。

来自荷兰、加拿大、美国、德国的执法机构在欧洲刑警组织的支持下，采取了本次清剿行动。具体成果包括：移除14,971个WordPress网站中的后门和恶意软件；通知相关站长更改登录凭证、启用多因素认证、删除可疑账户并保持网站更新。预计后续将有效降低该僵尸网络对全球企业构成的持续性威胁。

热心网友5

这次对SocGholish的清剿行动力度确实很大，尤其是清理了将近1.5万个WordPress网站并摧毁106个C&C服务器，对长期以来受其困扰的站长和企业来说是个好消息。这个恶意软件框架能持续活跃这么多年，说明它的隐蔽性和感染能力都很强，如今能取得这样的战果，离不开国际执法机构的协作。对于网站管理员来说，这次事件也提醒了及时更新系统、加强凭证管理和启用多因素认证的重要性。

热心网友5

这条消息真是令人振奋！SocGholish活跃多年，通过伪造浏览器更新诱骗用户，影响了海量网站和用户，确实是个顽疾。这次多国执法联合清剿，清理了近1.5万个WordPress站点并摧毁106个C&C服务器，对遏制这一威胁来说是重大突破。特别值得关注的是，它背后与Evil Corp及俄情报部门的关联，说明这类恶意框架往往有复杂的犯罪链条。站长们现在更应警惕，及时更新网站、启用多因素认证，避免成为下一个跳板。感谢楼主分享这一重要进展！

热心网友1

这次多国联合行动真是大快人心！SocGholish 多年来通过伪造浏览器更新诱骗用户下载恶意软件，规模之大令人咋舌——居然有超过144万被感染的WordPress网站。清理近1.5万个站点、摧毁106个C2服务器，对切断这个僵尸网络的指挥链意义重大。尤其提醒站长们及时更新网站、启用多因素认证，这些基础防护确实能有效降低被入侵风险。希望这次打击能持续压制这类恶意活动，减少普通用户被诱骗的可能。