Glupteba botnet operatörleri, Google’ın kötü amaçlı etkinliği kesintiye uğratmasından aylar sonra, yenilenen ve “yukarı ölçeklendirilmiş” bir kampanyanın parçası olarak Haziran 2022’de yeniden ortaya çıktı.
Siber güvenlik şirketi Nozomi Networks bir yazıda, devam eden saldırının, kötü amaçlı yazılımın yayından kaldırma karşısında dirençli olduğunu düşündürdüğünü söyledi. “Ayrıca, 2021 kampanyasından bu yana C2 sunucuları olarak kullanılan TOR gizli hizmetlerinde on kat artış oldu.”
Hileli reklamlar veya yazılım çatlakları yoluyla dağıtılan kötü amaçlı yazılım, kimlik bilgilerini çalmasına, kripto para madenciliği yapmasına ve MikroTik ve Netgear’ın IoT cihazlarındaki güvenlik açıklarından yararlanarak erişimini genişletmesine olanak tanıyan ek yükler almak için de donatıldı.
Aynı zamanda, en az 2019’dan beri blok zincirini bir komuta ve kontrol (C2) mekanizması olarak kullanan ve altyapısını geleneksel bir sunucu durumunda olduğu gibi yayından kaldırma çabalarına dirençli hale getiren alışılmadık bir kötü amaçlı yazılım örneğidir.
Botnet özellikle, şifrelenmiş C2 sunucu adresini getirmek için tehdit aktörünün sahip olduğu cüzdan adresleriyle ilgili işlemler için halka açık Bitcoin blok zincirini aramak üzere tasarlanmıştır.
Endüstriyel ve IoT güvenlik firması, “Bu, imza betiği içinde 80 bayta kadar rasgele verinin depolanmasını sağlayan OP_RETURN işlem kodu tarafından mümkün kılındı.” Doğrulanmış bir Bitcoin işlemini silin veya sansürleyin.”
Yöntem aynı zamanda, bir C2 sunucusunun kapatılması durumunda değiştirilmesini de kolaylaştırır, çünkü operatörler için tek gereken, kodlanmış güncellenmiş sunucu ile aktör tarafından kontrol edilen Bitcoin cüzdan adresinden yeni bir işlem yayınlamaktır.
Aralık 2021’de Google, botnet’i denetleyen iki Rus vatandaşına dava açmanın yanı sıra operasyonlarında önemli bir engel oluşturmayı başardı. Geçen ay, bir ABD mahkemesi teknoloji devinin lehine karar verdi.
İnternet devi Kasım ayında “Glupteba operatörleri, Google dışı bazı platformlarda ve IoT cihazlarında faaliyetlerine devam ederken, grubun üzerine yasal bir ışık tutmak, diğer suç operasyonlarının onlarla çalışmasını daha az çekici hale getiriyor” dedi.
VirusTotal’a yüklenen 1.500’den fazla Glupteba örneğini inceleyen Nozomi Networks, 19 Haziran 2019’a kadar uzanan ve tehdit aktörleri tarafından kullanılan 15 cüzdan adresini çıkarabildiğini söyledi.
Haziran 2022’de başlayan devam eden kampanya, aynı zamanda, 2021’de dört olan haydut bitcoin adreslerinin sayısının 17’ye çıkmasıyla birlikte, belki de son birkaç yılın en büyük dalgasıdır.
İlk olarak 1 Haziran 2022’de aktif olan bu adreslerden biri, bugüne kadar 11 kez işlem gördü ve 1.197 eserde kullanılıyor, bu da onu en yaygın kullanılan cüzdan adresi yapıyor. Son işlem 8 Kasım 2022’de kaydedildi.
Araştırmacılar, “Tehdit aktörleri, siber saldırıları başlatmak için blockchain teknolojisinden giderek daha fazla yararlanıyor” dedi. “Blockchain’in dağıtılmış ve merkezi olmayan doğasından yararlanan kötü niyetli aktörler, kötü amaçlı yazılım yayılımından fidye yazılımı dağıtımına kadar çeşitli saldırılar için onun anonimliğinden yararlanabilir.”