Glupteba botnet operatörleri, Google’ın kötü amaçlı etkinliği kesintiye uğratmasından aylar sonra, yenilenen ve “yukarı ölçeklendirilmiş” bir kampanyanın parçası olarak Haziran 2022’de yeniden ortaya çıktı.
Siber güvenlik şirketi Nozomi Networks bir yazıda, devam eden saldırının, kötü amaçlı yazılımın yayından kaldırma karşısında dirençli olduğunu düşündürdüğünü söyledi. “Ayrıca, 2021 kampanyasından bu yana C2 sunucuları olarak kullanılan TOR gizli hizmetlerinde on kat artış oldu.” kayıt edilmiş.
Hileli reklamlar veya yazılım çatlakları yoluyla dağıtılan kötü amaçlı yazılım, kimlik bilgilerini çalmasına, kripto para madenciliği yapmasına ve MikroTik ve Netgear’ın IoT cihazlarındaki güvenlik açıklarından yararlanarak erişimini genişletmesine olanak tanıyan ek yükler almak için de donatıldı.
Aynı zamanda, komut ve kontrol (C2) için bir mekanizma olarak blok zincirinden yararlanan olağandışı bir kötü amaçlı yazılım örneğidir. en az 2019’dan berialtyapısını geleneksel bir sunucu durumunda olduğu gibi yayından kaldırma çabalarına karşı dirençli hale getirir.
Botnet özellikle, şifrelenmiş C2 sunucu adresini getirmek için tehdit aktörünün sahip olduğu cüzdan adresleriyle ilgili işlemler için halka açık Bitcoin blok zincirini aramak üzere tasarlanmıştır.
“Bu, OP_RETURN imza betiği içinde 80 bayta kadar keyfi verinin depolanmasını sağlayan opcode,” diyen endüstriyel ve IoT güvenlik şirketi, mekanizmanın Glupteba’yı sökmeyi de zorlaştırdığını, çünkü “doğrulanmış bir Bitcoin işlemini silmenin veya sansürlemenin bir yolu olmadığını” ekledi. “
Yöntem aynı zamanda, bir C2 sunucusunun kapatılması durumunda değiştirilmesini de kolaylaştırır, çünkü operatörler için tek gereken, kodlanmış güncellenmiş sunucu ile aktör tarafından kontrol edilen Bitcoin cüzdan adresinden yeni bir işlem yayınlamaktır.
Aralık 2021’de Google, botnet’i denetleyen iki Rus vatandaşına dava açmanın yanı sıra operasyonlarında önemli bir engel oluşturmayı başardı. Geçen ay, bir ABD mahkemesi teknoloji devinin lehine karar verdi.
İnternet devi, “Glupteba operatörleri Google dışı bazı platformlarda ve IoT cihazlarında faaliyetlerine devam ederken, grubun üzerine yasal bir ışık tutmak, diğer suç operasyonlarının onlarla çalışmasını daha az çekici hale getiriyor.” işaret etti Kasım’da.
VirusTotal’a yüklenen 1.500’den fazla Glupteba örneğini inceleyen Nozomi Networks, 19 Haziran 2019’a kadar uzanan ve tehdit aktörleri tarafından kullanılan 15 cüzdan adresini çıkarabildiğini söyledi.
Haziran 2022’de başlayan devam eden kampanya, aynı zamanda, 2021’de dört olan haydut bitcoin adreslerinin sayısının 17’ye çıkmasıyla birlikte, belki de son birkaç yılın en büyük dalgasıdır.
Bu adreslerden biri olan ilk olarak 1 Haziran 2022’de aktif, bugüne kadar 11 kez işlem gördü ve 1.197 eserde kullanıldı, bu da onu en yaygın kullanılan cüzdan adresi yapıyor. Son işlem 8 Kasım 2022’de kaydedildi.
Araştırmacılar, “Tehdit aktörleri, siber saldırıları başlatmak için blockchain teknolojisinden giderek daha fazla yararlanıyor” dedi. “Blockchain’in dağıtılmış ve merkezi olmayan doğasından yararlanan kötü niyetli aktörler, kötü amaçlı yazılım yayılımından fidye yazılımı dağıtımına kadar çeşitli saldırılar için onun anonimliğinden yararlanabilir.”
