Glupteba 僵尸网络的运营商于 2022 年 6 月重新浮出水面,作为更新和“升级”活动的一部分,几个月后谷歌破坏了恶意活动。
网络安全公司 Nozomi Networks 在一篇文章中表示,持续不断的攻击表明恶意软件在遭到删除时具有弹性。“此外,自 2021 年竞选活动以来,用作 C2 服务器的 TOR 隐藏服务增加了十倍,”它指出。
该恶意软件通过欺诈性广告或软件破解进行传播,还可以检索额外的有效载荷,使其能够窃取凭证、挖掘加密货币,并通过利用MikroTik和Netgear物联网设备中的漏洞扩大其影响范围。
这也是一种不寻常的恶意软件的一个实例,该恶意软件至少从 2019 年开始就利用区块链作为命令和控制 (C2) 的机制,使其基础设施能够像传统服务器一样抵抗拆除工作。
具体来说,僵尸网络旨在搜索公共比特币区块链以查找与威胁行为者拥有的钱包地址相关的交易,从而获取加密的 C2 服务器地址。
“这是通过OP_RETURN操作码实现的,该操作码可以在签名脚本中存储多达 80 字节的任意数据,”工业和物联网安全公司解释说,并补充说该机制也使 Glupteba 难以拆除,因为“没有办法删除或审查经过验证的比特币交易。”
如果 C2 服务器被关闭,该方法还可以方便地更换 C2 服务器,因为运营商所需要做的就是使用编码更新的服务器从参与者控制的比特币钱包地址发布新交易。
2021 年 12 月,谷歌设法对其运营造成重大影响,同时对监督僵尸网络的两名俄罗斯国民提起诉讼。上个月,一家美国法院做出了有利于这家科技巨头的裁决。
“虽然 Glupteba 运营商已经在一些非谷歌平台和物联网设备上恢复活动,但对该组织的法律关注使得其他犯罪活动与他们合作的吸引力降低,”这家互联网巨头在 11 月指出。
Nozomi Networks 检查了上传到 VirusTotal 的 1,500 多个 Glupteba 样本,表示它能够提取 15 个钱包地址,这些地址可追溯到 2019 年 6 月 19 日。
2022 年 6 月开始的持续攻击活动也可能是过去几年中最大的一波浪潮,流氓比特币地址的数量从 2021 年的 4 个跃升至 17 个。
其中一个地址于 2022 年 6 月 1 日首次启用,迄今为止已进行 11 次交易,并在多达 1,197 个工件中使用,使其成为使用最广泛的钱包地址。最后一笔交易记录在 2022 年 11 月 8 日。
“威胁行为者越来越多地利用区块链技术发起网络攻击,”研究人员说。“通过利用区块链的分布式和去中心化特性,恶意行为者可以利用其匿名性进行各种攻击,从恶意软件传播到勒索软件分发。”
