Операторы ботнета Glupteba вновь появились в июне 2022 года в рамках возобновленной и «расширенной» кампании, спустя несколько месяцев после того, как Google пресекла его вредоносную деятельность.
Продолжающиеся атаки свидетельствуют об устойчивости вредоносного ПО перед лицом противодействия Google, говорится в сообщении компании Nozomi Networks, занимающейся вопросами кибербезопасности. «Кроме того, со времени кампании 2021 года в десять раз увеличилось количество скрытых сервисов TOR, используемых в качестве серверов управления» - отметила компания.
Вредоносная программа, которая распространяется через мошенническую рекламу или пиратское программное обеспечение, также оснащена дополнительными полезными нагрузками, которые позволяют ей красть учетные данные, майнить криптовалюты и расширять поверхность атаки, используя уязвимости в IoT-устройствах от MikroTik и Netgear.
Это также пример необычного вредоносного ПО, которое использует блокчейн в качестве механизма управления по крайней мере с 2019 года, что делает его инфраструктуру устойчивой к попыткам уничтожения, в отличие от традиционных серверов.
В частности, ботнет предназначен для поиска в публичном блокчейне биткоина транзакций, связанных с адресами кошельков, принадлежащих злоумышленнику, чтобы получить зашифрованный адрес CnC-сервера.
«Это возможно благодаря опкоду OP_RETURN, который позволяет хранить до 80 байт произвольных данных в сигнатурном скрипте» - пояснили в компании, специализирующейся на промышленной и IoT-безопасности, добавив, что этот механизм также затрудняет уничтожение Glupteba, поскольку «нет возможности стереть или подвергнуть цензуре подтвержденную блокчейн-транзакцию».
Метод также делает удобной замену CnC-сервера в случае его уничтожения, поскольку все, что требуется от операторов - опубликовать новую транзакцию с контролируемого адреса кошелька Bitcoin с закодированным обновленным сервером.
В декабре 2021 года Google удалось нанести значительный ущерб деятельности ботнета, подав иск против двух российских граждан, контролировавших его. В прошлом месяце суд США вынес решение в пользу технологического гиганта.
«Хотя операторы Glupteba возобновили свою деятельность на некоторых платформах и IoT-устройствах, не относящихся к Google, юридическое освещение деятельности группировки делает менее привлекательным сотрудничество с ней для других преступных группировок» - отметил в ноябре интернет-гигант.
Компания Nozomi Networks, изучившая более 1500 образцов Glupteba, загруженных на VirusTotal, заявила, что ей удалось извлечь 15 адресов кошельков, которые использовались злоумышленниками, начиная с 19 июня 2019 года.
Продолжающаяся кампания, начавшаяся в июне 2022 года, возможно, является самой крупной волной за последние несколько лет, поскольку число мошеннических биткоин-кошельков выросло до 17, по сравнению с четырьмя в 2021 году.
Один из этих кошельков, который был впервые активен 1 июня 2022 года, на сегодняшний день совершил 11 транзакций и используется в 1 197 артефактах, что делает его самым распространенным. Последняя транзакция была зарегистрирована 8 ноября 2022 года.
«Хакеры все чаще используют технологию блокчейн для проведения кибератак» - заявляют исследователи. «Используя преимущества распределенной и децентрализованной природы блокчейна, злоумышленники могут использовать его анонимность для различных атак, начиная от распространения вредоносного ПО и заканчивая распространением шифровальщиков».
Источник: https://thehackernews.com
