2026-06-26 08:23:58 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 2026年6月18日终局行动成功打击SocGholish团伙，修复14971个被入侵网站并捣毁C2服务器。SocGholish是基于JavaScript的初始访问代理，通过入侵正规网站植入虚假更新弹窗诱导用户下载恶意载荷，后续投放勒索软件、远控木马等。OrangeCyberdefense提出分层防护方案：网站管理员需更新CMS、强化凭证；终端用户应警惕非官方更新提示；企业需利用威胁情报实时拦截恶意连接。 综合评分： 87 文章分类： 威胁情报,恶意软件,应急响应,漏洞分析,安全运营

cover_image

终局行动清剿 SocGholish 团伙，Orange Cyberdefense拆解攻击链路给出全套防护方案

原创

OCD OCD

誓联信息 Orange Cyberdefense

2026年6月22日 16:23 上海

在小说阅读器读本章

去阅读

# 内容速览 #

2026 年 6 月 18 日，“终局行动” (Operation Endgame)开展新一轮专项打击，成功修复超 14971 个遭入侵网站、捣毁非法命令控制服务器，大幅削弱 SocGholish 恶意工具相关网络犯罪活动。
SocGholish 是一款基于 JavaScript 的恶意下载程序，属于初始访问代理工具。黑客通过漏洞或窃取的账号入侵正规网站，借助该工具获取网络初始访问权限，后续多层投放各类恶意程序。
本次打击虽重创犯罪链条，但相关威胁并未彻底消除。网络犯罪分子应变能力持续增强，各方需持续开展安全监测、定期更新系统，并深化政企协同。在此背景下，掌握专业威胁情报，是执法机构与安全部门的核心防护利器。

深度解析：危害性极强的初始访问类网络威胁

2026 年 6 月 18 日，多国执法部门协同开展跨国专项行动，作为长期反网络犯罪项目 “终局行动” 的一环，本次行动对 SocGholish 这一长期活跃的网络威胁实施重大打击。荷兰、加拿大、美国、德国相关执法机构联合行动，修复 14971 个被攻陷网站，关停该牟利型网络犯罪团伙的命令控制（C2）服务器。

本次终局行动意义重大，本文将深度拆解 SocGholish 威胁，Orange Cyberdefense应急响应团队（CERT）已持续追踪该威胁多年，下文将详解SocGholish攻击手段、在网络犯罪产业链中的定位，以及本次打击对网络防护方带来的启示。

何为SocGholish？绝非普通恶意软件

首先需要明确：SocGholish 并非攻击流程的最终环节。它是一款基于 JavaScript 的下载器，其运营主体为俄语系、以牟利为目的的网络威胁组织，行业内将其归类为初始访问代理（IAB）。安全行业对该团伙存在多个追踪代号，包括 TA569、UNC1543、芥末风暴、金色序曲。

初始访问代理的商业模式简单却高效：专门入侵企业及个人网络，再将获取的访问权限出售给其他犯罪团伙。这些 “买家” 会投放勒索病毒、间谍软件、银行木马等自有恶意载荷。简单来说，SocGholish 处于网络杀伤链最前端，并非实施破坏的最终工具。该团伙至少自 2017 年起持续活跃，存续时间久、使用范围广，已然成为 “网络犯罪即服务” 黑色产业链的核心工具。

SocGholish完整攻击流程拆解

Orange Cyberdefense安全事件响应团队（CSIRT）完整记录了 TA569 团伙的攻击链路，其流程高度标准化，高度依赖社会工程学欺骗手段。

第一步：网站攻陷

攻击始于正规网站被入侵。TA569 团伙利用 WordPress、Joomla、Drupal 等主流内容管理系统（CMS）的已知漏洞，或盗取网站登录凭证，向网页植入恶意 JavaScript 代码。正如此前官方新闻稿所述，全球超 43% 网站基于 WordPress 搭建，可供攻击的目标范围极其庞大。遭入侵站点覆盖本地小型餐馆官网，乃至国家级新闻媒体网站。

第二步：虚假更新诱饵

用户访问被入侵网站时，植入的恶意脚本自动运行。但弹窗诱饵不会对所有访客展示：攻击者配套流量分发系统（TDS），通过地理围栏、浏览器型号、IP 地址筛选目标，精准定向投放恶意弹窗。此举大幅降低攻击暴露概率，常规安全检测工具、简易文件沙箱均难以识别。

被锁定的目标用户页面会弹出逼真的虚假提示框，催促用户更新谷歌浏览器、火狐浏览器等常用软件。

第三步：恶意载荷执行

一旦用户受骗点击下载按钮，设备将保存内含恶意 JavaScript 文件的压缩包。黑客继续诱导用户运行该文件，谎称这是正规更新程序。文件运行后，SocGholish 下载器激活，黑客正式在受害设备建立入侵立足点。

第四步：投放后续恶意程序

SocGholish 启动后会连接黑客命令控制服务器，分阶段投放多种二级恶意载荷。监测数据显示，该工具会释放 Gholoader、MintsLoader 等加载器，进而部署危害性更强的恶意程序，典型后续载荷包括：

幽灵编织者（GhostWeaver）：基于 PowerShell 的后门程序，窃取网页表单内账号密码、加密货币钱包信息；
勒索病毒：SocGholish长期是洛克比特勒索病毒附属组织的核心入侵入口，也曾被观测到用于投放勒索枢纽 (RansomHub)；
远程控制木马 (RAT)：AsyncRAT、NetSupport 远程木马，攻击者可完全操控受害设备。

SocGholish 采用分层投放模式，可同步分发多类后续恶意程序。

盘根错节的黑色犯罪产业链

SocGholish 相关犯罪活动依附于庞大、分散的黑色产业链，攻击全流程（从获取初始访问权限到非法牟利）被拆分给不同团伙分工完成。这条 “网络犯罪供应链” 中，初始访问代理、流量分发服务商、勒索病毒团伙各司其职、紧密勾结。

核心犯罪联盟

SocGholish 与臭名昭著的俄罗斯网络犯罪集团邪恶集团（Evil Corp）存在明确关联，本次 “终局行动” 官方通稿再次证实二者勾结关系。

专业外包服务

为扩大攻击覆盖面，TA569 团伙与运营流量分发系统的 TA2726 等其他黑产组织合作。该服务负责筛选、导流受害者进入 SocGholish 攻击链路，优化黑客作案效率。

仿冒攻击泛滥

“虚假更新” 攻击模式获利丰厚，催生大量模仿作案团伙。TA2727 等组织采用同款 JS 植入、虚假弹窗诱饵传播自有恶意程序，包括卢马窃密木马、鹿盗窃密木马。大量同类威胁团伙采用相似作案模式，大幅增加溯源追责难度，也印证该攻击手法普及率高、欺骗性极强。

“终局行动”带来的打击成效

本次 “终局行动” 系列举措对该类威胁团伙造成沉重打击。执法机构清理上万台受入侵网站、关停命令控制服务器、扣押犯罪域名，直接摧毁团伙核心基础设施。尽管此类打击无法彻底根除恶意活动，但会大幅抬高黑客作案成本与操作难度，也为网络防护方争取到加固安全体系的缓冲窗口。

Orange Cyberdefense给出的防护建议

结合威胁情报与官方执法指引，Orange Cyberdefese安全团队提出全方位的分层防护建议：

网站管理员防护指南

更新内容管理系统：持续升级WordPress、Joomla等建站程序、插件及主题，封堵可被利用的安全漏洞；
强化账号凭证：设置高强度后台管理员密码，杜绝默认密码、简单易猜密码；
开启多因素认证 (MFA)：配置多因素验证，即便账号密码泄漏，也能构筑关键第二道安全防线，阻止非法登录；
定期核查账号：常态化检查网站后台，删除所有陌生、可疑管理员账户。

普通终端用户防护指南

警惕浏览器弹窗：切勿相信网页弹出的软件更新提示；
仅通过官方渠道更新：浏览器、操作系统、应用软件的正规更新，只会通过软件自带更新通道或官方应用商店推送，不会在陌生网站弹窗提示。

企业安全运维团队防护指南

充分利用威胁情报：SocGholish 的命令控制服务器域名、IP 地址更换频繁，周期仅 2 至 5 天。订阅Orange Cyberdefense等机构提供的实时、可落地威胁情报，能够及时拦截设备与新型恶意域名、恶意 IP 的连接。

依托网络威胁情报，抵御现代网络犯罪

SocGholish 韧性强、技术成熟、攻击效率极高，是现代交织式网络黑色产业链的关键一环。“终局行动” 再次重拳打击核心初始访问代理团伙，保护了海量潜在受害者。

但此类威胁团伙具备极强的应变能力。本次行动虽重创 SocGholish 现有犯罪体系，我们预判 TA569 及其下游犯罪买家会重新整合资源、改造攻击工具，重建犯罪基础设施。橙色网络防御应急响应中心将持续监测该威胁，主动提供前置防护方案，并持续推进政企安全协作 —— 政企联动，仍是抵御网络犯罪最有力的手段。

“终局行动”（Operation Endgame）是由‌欧洲刑警组织（Europol）‌联合荷兰、德国、丹麦、美国、澳大利亚、法国、比利时、英国、加拿大多国执法与司法机构，协同参发起的协调性国际执法行动，旨在摧毁支持勒索软件、间谍软件和僵尸网络的犯罪基础设施。

“终局行动” 2024年正式启动，迄今为止已成为全球规模最大的跨国反勒索病毒、打击网络犯罪专项行动。各国跨境紧密配合，瓦解网络犯罪团伙，同时联动私营安全企业，共建安全数字环境。

关于我们

Orange Cyberdefense 是 Orange 集团旗下的专业网络安全业务公司，为全球组织提供安全管理、威胁检测与响应等托管服务。作为世界领先的安全提供商，我们致力于保障网络空间安全并构建一个更安全的数字社会。

凭借在信息安全领域超过25年的经验，3100名专家、18个SOC和15个 CyberSOC遍布全球，我们知道如何解决客户的全球和本地问题。在中国，我们的业务涵盖24/7/365安全托管检测与响应中心、渗透测试、漏洞扫描、补丁管理、遭受网络攻击后的调查取证等，并确保跨国企业在国内满足信息安全相关法律的规定。

联系我们

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：誓联信息 Orange Cyberdefense OCD OCD《终局行动清剿 SocGholish 团伙，Orange Cyberdefense拆解攻击链路给出全套防护方案》