Glupteba マルウェア ボットネットは、ほぼ 1 年前に Google によってその運用が中断された後、活動を再開し、世界中のデバイスに感染しています。
2021 年 12 月、Google はブロックチェーン対応のボットネットに大規模な混乱を引き起こし、ボットネットのインフラストラクチャを制御する裁判所命令を確保し、2 つのロシアのオペレーターに対して苦情を申し立てました。
Nozomi は現在、ブロックチェーン トランザクション、TLS 証明書の登録、および Glupteba のリバース エンジニアリング サンプルが、2022 年 6 月に開始され、現在も進行中の新しい大規模な Glupteba キャンペーンを示していると報告しています。
ブロックチェーンに隠れる
Glupteba は、Windows デバイスに感染して暗号通貨をマイニングし、ユーザーの資格情報と Cookie を盗み、Windows システムと IoT デバイスにプロキシを展開するブロックチェーン対応のモジュール式マルウェアです。
これらのプロキシは、後に「住宅用プロキシ」として他のサイバー犯罪者に販売されます。
このマルウェアは主に、ペイ パー インストール (PPI) ネットワークでのマルバタイジングや、フリー ソフトウェア、ビデオ、および映画を装ったインストーラをプッシュするトラフィック分散システム (TDS) を通じて配布されます。
Glupteba は、Bitcoin ブロックチェーンを利用して、コマンドを実行するために接続する必要があるコマンド アンド コントロール サーバーの最新リストを受信することで、混乱を回避します。
ボットネットのクライアントは、ビットコイン ウォレット サーバーを列挙し、トランザクションを取得し、それらを解析して AES 暗号化アドレスを見つける機能を使用して、C2 サーバー アドレスを取得します。
この戦略は Glupteba によって数年前から採用されており、テイクダウンに対する回復力を提供しています。
これは、ブロックチェーン トランザクションは消去できないため、C2 アドレス削除の取り組みによるボットネットへの影響は限定的です。
さらに、ビットコインの秘密鍵がなければ、法執行機関はコントローラーのアドレスにペイロードを埋め込むことができないため、2021 年初頭に Emotet に影響を与えたような突然のボットネットの乗っ取りやグローバルな無効化は不可能です。
唯一の欠点は、ビットコインのブロックチェーンは公開されているため、誰でもアクセスして取引を精査し、情報を収集できることです。
グルプテバの帰還
Nozomi は、Glupteba が今日も同じ方法でブロックチェーンを使用し続けていると報告しているため、そのアナリストはブロックチェーン全体をスキャンして、隠された C2 ドメインを発見しました。
VirusTotal にアップロードされた 1,500 個の Glupteba サンプルを精査して、ウォレット アドレスを抽出し、マルウェアに関連付けられたキーを使用してトランザクション ペイロード データの復号化を試みるなど、多大な労力が費やされました。
最後に、Nozomi はパッシブ DNS レコードを使用して Glupteba のドメインとホストを探し、マルウェアが使用する最新の TLS 証明書セットを調べて、そのインフラストラクチャに関する詳細情報を明らかにしました。
Nozomi の調査では、4 つの Glupteba キャンペーンで使用された 15 のビットコイン アドレスが特定されました。最新のものは、Google の混乱から 6 か月後の 2022 年 6 月に始まりました。このキャンペーンは引き続き実施中です。
このキャンペーンは、過去の活動よりも多くのビットコイン アドレスを使用しており、ボットネットの回復力をさらに高めています。
.png)
さらに、C2 サーバーとして使用される TOR 隠しサービスの数は、同様の冗長性アプローチに従って、2021 年のキャンペーン以降 10 倍に増加しています。
最も多用されたアドレスには 11 件のトランザクションがあり、1,197 件のサンプルに伝達され、最後の活動は 2022 年 11 月 8 日に登録されました。
Nozomi はまた、2022 年 11 月 22 日にパッシブ DNS データを介して発見された多くの Glupteba ドメイン登録を報告しています。
上記のことから、Glupteba ボットネットが復活したことは明らかであり、その兆候は以前よりも大規模であり、研究者や法執行機関による削除に抵抗するために多数のフォールバック アドレスを設定して、以前よりもさらに回復力が増している可能性があることを示しています。
Comments