GLUDTEBA kötü amaçlı yazılım botnet, çalışması neredeyse bir yıl önce Google tarafından bozulduktan sonra dünya çapında cihazları enfekte ederek yeniden harekete geçti.
Aralık 2021'de Google, blockchain özellikli Botnet'te büyük bir bozulmaya neden olmayı başardı ve mahkeme emirlerini Botnet'in altyapısının kontrolünü ele geçirme ve iki Rus operatöre karşı şikayetleri sunma emirlerini güvence altına aldı.
Nozomi şimdi blockchain işlemlerinin, TLS sertifika kayıtlarının ve tersine mühendislik GLIPTEBA örneklerinin Haziran 2022'de başlayan ve halen devam eden yeni, büyük ölçekli bir GLIPTEBA kampanyası gösterdiğini bildiriyor.
GLIPTEBA, kripto para birimi için benimkine enfekte eden, kullanıcı kimlik bilgileri ve çerezleri çalan ve Windows sistemlerinde ve IoT cihazlarına proxy dağıtan blockchain özellikli, modüler bir kötü amaçlı yazılımdır.
Bu vekiller daha sonra diğer siber suçlulara 'konut vekilleri' olarak satılmaktadır.
Kötü amaçlı yazılım ağırlıklı olarak, ücretsiz yazılım, video ve film olarak gizlenmiş yükleyicileri iterek, giriş başına ödeme (PPI) ağlarında ve trafik dağıtım sistemlerinde (TDS) kötü niyetli olarak dağıtılır.
GLUDTEBA, yürütülecek komutlar için iletişim kurması gereken güncellenmiş komut ve kontrol sunucuları alarak bozulmadan kaçınmak için Bitcoin blockchain'i kullanır.
BotNet'in istemcileri, Bitcoin cüzdan sunucularını numaralandıran, işlemlerini alan ve AES şifreli bir adres bulmak için ayrıştıran bir Discover işlevini kullanarak C2 sunucu adresini alır.
Bu strateji birkaç yıldır GLUPTEBA tarafından kullanılmış ve yayından kaldırmalara karşı dayanıklılık sunmaktadır.
Bunun nedeni, blockchain işlemlerinin silinememesidir, bu nedenle C2 adres yayından kaldırma çabalarının botnet üzerinde sınırlı bir etkisi vardır.
Dahası, Bitcoin özel anahtarı olmadan, kolluk kuvvetleri kontrolör adresine yük ekleyemez, bu nedenle ani botnet devralmaları veya 2021'in başlarında Emotet'i etkileyen gibi küresel deaktivasyonlar imkansızdır.
Tek dezavantajı, Bitcoin blockchain'in herkese açık olmasıdır, böylece herkes ona erişebilir ve bilgi toplamak için işlemleri inceleyebilir.
Nozomi, Glupteba'nın blockchain'i bugün aynı şekilde kullanmaya devam ettiğini bildirdi, böylece analistleri tüm blok zincirini gizli C2 alanlarını ortaya çıkarmak için taradı.
Cüzdan adreslerini çıkarmak ve kötü amaçlı yazılımlarla ilişkili anahtarlar kullanarak işlem yükü verilerini şifresini çözmeye çalışmak için Virustotal'a yüklenen 1.500 GLUDEBA örneğinin incelemesini içeren çaba çok büyüktü.
Son olarak, Nozomi, Glupteba alanlarını ve ana bilgisayarlarını avlamak için pasif DNS kayıtlarını kullandı ve altyapısı hakkında daha fazla bilgi almak için kötü amaçlı yazılım tarafından kullanılan en son TLS sertifikası setini inceledi.
Nozomi soruşturması, dört Glupteba kampanyasında kullanılan 15 bitcoin adresini tanımladı ve en sonuncusu Google'ın kesintisinden altı ay sonra Haziran 2022'de başladı. Bu kampanya hala devam ediyor.
Bu kampanya, geçmiş operasyonlardan daha fazla Bitcoin adres kullanıyor ve BOTNET'e daha fazla esneklik kazandırıyor.
Ayrıca, C2 sunucuları olarak kullanılan TOR gizli hizmetlerin sayısı, benzer bir fazlalık yaklaşımını takiben 2021 kampanyasından bu yana on kez büyüdü.
En üretken adresin 11 işlemi vardı ve son faaliyeti 8 Kasım 2022'de kaydedildi.
Nozomi ayrıca, 22 Kasım 2022 tarihine kadar pasif DNS verileri ile keşfedilen birçok Glupteba alan kaydı kaydediyor.
Yukarıdakilerden, GLUDTEBA Botnet'in geri döndüğü açıktır ve işaretler, eskisinden daha büyük ve potansiyel olarak daha esnek olduğunu gösteriyor ve araştırmacılar ve kolluk kuvvetlerine direnmek için çok sayıda geri dönüş adres oluşturuyor.
Microsoft, Windows, Linux enfekte edici yeni Minecraft DDOS kötü amaçlı yazılımları uyarıyor
Yeni Zerobot Kötü Yazılım
Güncellenmiş rapperbot kötü amaçlı yazılım, DDOS saldırılarında oyun sunucularını hedefler
Kötü niyetli uzatma, saldırganların Google Chrome'u uzaktan kontrol etmesine izin verir
Fodcha DDOS Botnet iktidarda 1 Tbps'ye ulaşır, paketlerde fidye enjekte eder
Kaynak: Bleeping Computer