Dies Glupteba-Botnetz gedeiht weiterhin trotz welcher Versuche von Google, es zu stören

19. Monat der Wintersonnenwende 2022Ravie LakshmananBlockchain / Botnet

Die Betreiber des Glupteba-Botnetzes tauchten im sechster Monat des Jahres 2022 im Rahmen einer erneuerten und „erweiterten“ Kampagne wieder hinaus, Monate nachdem Google die böswilligen Aktivitäten unterbunden hatte.

Jener anhaltende Überfall deutet hinaus die Widerstandsfähigkeit welcher Schadsoftware in Bezug auf von Abschaltungen hin, sagte dies Cybersicherheitsunternehmen Nozomi Networks in einem Depesche. „Darüber hinaus gab es seitdem welcher Kampagne 2021 verdongeln zehnfachen Wachstum welcher versteckten TOR-Dienste, die wie C2-Server verwendet werden“, stellte sie straff.

Die Schadsoftware, die durch betrügerische Werbung oder Software-Cracks verbreitet wird, ist unter ferner liefen dazu gerüstet, zusätzliche Payloads abzurufen, die es ihr zuteil werden lassen, Anmeldeinformationen zu stehlen, Kryptowährungen abzubauen und ihre Reichweite zu vergrößern, während sie Schwachstellen in IoT-Geräten von MikroTik und Netgear ausnutzt.

Es ist unter ferner liefen eine Instanz einer ungewöhnlichen Schadsoftware, die Blockchain wie System für jedes Command-and-Control (C2) seitdem mindestens 2019 nutzt und ihre Unterbau so widerstandsfähig gegen Takedown-Bemühungen wie im Sachverhalt eines herkömmlichen Servers macht.

Insbesondere ist dies Botnet darauf ausgelegt, die öffentliche Bitcoin-Blockchain nachdem Transaktionen zu durchsuchen, die sich hinaus Wallet-Adressen beziehen, die dem Angreifer in Besitz sein von, um die verschlüsselte C2-Serveradresse abzurufen.

„Dies wird durch den OP_RETURN-Opcode ermöglicht, welcher die Speicherung von solange bis zu 80 Byte beliebiger Datenansammlung intrinsisch des Signaturskripts ermöglicht“, erklärte die Industrie- und IoT-Sicherheitsfirma und fügte hinzu, dass welcher System Glupteba unter ferner liefen schwergewichtig zu zerlegen macht, da „es keine Möglichkeit gibt eine validierte Bitcoin-Transaktion löschen oder zensieren.”

Die Methode macht es unter ferner liefen geschenkt, verdongeln C2-Server zu ersetzen, wenn er heruntergefahren werden sollte, da die Betreiber lediglich eine neue Transaktion von welcher vom Handelnder kontrollierten Bitcoin-Wallet-Postanschrift mit dem verschlüsselten aktualisierten Server veröffentlichen sollen.

Im Monat der Wintersonnenwende 2021 gelang es Google, seinen Produktionsstätte erheblich zu in Mitleidenschaft ziehen und taktgesteuert eine Klage gegen zwei russische Staatsangehörige einzureichen, die dies Botnetz beaufsichtigten. Im vergangenen Monat entschied ein US-Gerichtshof zugunsten des Technologieriesen.

„Während die Betreiber von Glupteba ihre Aktivitäten hinaus einigen Nicht-Google-Plattformen und IoT-Geräten wieder aufgenommen nach sich ziehen, macht es ein rechtliches Rampenlicht hinaus die Menge für jedes andere kriminelle Operationen weniger gefragt, mit ihnen zusammenzuarbeiten“, betonte welcher Web-Hünengestalt im November.

Nozomi Networks, dies via 1.500 hinaus VirusTotal hochgeladene Glupteba-Proben untersuchte, sagte, es sei in welcher Standpunkt gewesen, 15 Wallet-Adressen zu extrahieren, die von den Bedrohungsakteuren solange bis zum 19. sechster Monat des Jahres 2019 verwendet wurden.

Die laufende Kampagne, die im sechster Monat des Jahres 2022 begann, ist vielleicht unter ferner liefen die größte Woge welcher letzten Jahre, welches mit welcher Zahl welcher betrügerischen Bitcoin-Adressen zu tun hat, die von vier im Jahr 2021 hinaus 17 gestiegen ist.

Eine dieser Adressen, die erstmals am 1. sechster Monat des Jahres 2022 lebendig war, hat solange bis heute elf Transaktionen durchgeführt und wird in solange bis zu 1.197 Artefakten verwendet, welches sie zur am häufigsten verwendeten Wallet-Postanschrift macht. Die letzte Transaktion wurde am 8. November 2022 aufgezeichnet.

„Bedrohungsakteure nutzen zunehmend die Blockchain-Technologie, um Cyberangriffe zu starten“, sagten die Forscher. „Während sie die verteilte und dezentralisierte Natur welcher Blockchain nutzen, können böswillige Akteure ihre Anonymität für jedes eine Vielzahl von Angriffen ausnutzen, die von welcher Verbreitung von Schadsoftware solange bis zur Verbreitung von Ransomware reichen.“