Haziran 2022’de başlayan Glupteba Botnet’i içeren en son kampanya, bir düzineden fazla Bitcoin adresi kullandığı ve C&C operasyonları için Tor hizmetlerini kullandığı için önceki kampanyalardan daha kapsamlı.
Nozomi Ağları, bir OT ve IoT siber güvenlik firması, Glupteba botnet’in hala aktif olduğunu ortaya koyan bir blog yazısı yayınladı. Bu, Google’ın bir siber suç operasyonunda onu bozma iddialarını geçersiz kılar.
Aralık 2021’de, Hackread.com bildirdi Google, Glupteba blockchain botnet’inin C&C altyapısını bozduğunu iddia etmiş ve ayrıca Rus operatörleri Dmitry Starovikov ve Alexander Filippov’a dava açmıştı. Ancak Nozomi’ye göre bu botnet çalışır durumda.
Kampanya Ayrıntıları
Şirket, Glupteba’nın yer aldığı son kampanyanın Haziran 2022’de başladığını ve halen devam ettiğini kaydetti. Araştırmacılar 1.500’den fazla kötü amaçlı yazılım örneğini değerlendirdi ve tüm Bitcoin blok zincirikötü amaçlı etki alanlarını dağıtmak için tek bir Bitcoin adresi kullanılarak ilk kampanyanın Haziran 2019’da başladığı sonucuna varıyor.
Nisan 2020’de başlayan, aynı botnet’i kullanan başka bir kampanya keşfedildi. Bu, C&C etki alanı dağıtımı için iki Bitcoin adresinin kullanılmasını içeriyordu. Üçüncü kampanya Kasım 2021’de başladı. Yalnızca iki ay sonra, muhtemelen Google’ın müdahalesinden sonra durdurulduğu için en kısa kampanyaydı.
Haziran 2022’de başlayan en son kampanya, bir düzineden fazla Bitcoin adresi kullandığından ve kullanmayı içerdiğinden önceki kampanyalardan daha kapsamlı. Tor hizmetleri C&C işlemleri için.
Araştırmacılar, “Ayrıca, 2021 kampanyasından bu yana C2 sunucuları olarak kullanılan TOR gizli hizmetlerinde on kat artış oldu” dedi.
Glupteba Botnet Nasıl Çalışır?
Glupteba botnet, C&C altyapısını korumak için kripto blok zincirlerinden yararlanır. Sahte reklamlar veya yazılım çatlakları yoluyla dağıtılır. Esas olarak Windows cihazlarını hedefler ve kullanıcı kimlik bilgileri dahil olmak üzere hassas verileri çalabilir, kripto para birimleri için madencilik yapabilir ve IoT cihazlarını Netgear ve MicroTik proxy’lere.
Ayrıca Glupteba, imza komut dosyasıyla 80 bayta kadar bir işlem kodu aracılığıyla isteğe bağlı verileri depolayabilir. Bu yöntem, botnet’in bozulma çabalarına karşı dirençli kalmasına yardımcı olur çünkü blockchain işlemleri, savunma mekanizmaları veya kolluk kuvvetleri tarafından silinemez. Glupteba’nın aynı tekniği kullandığına inanılıyor. Cerber fidye yazılımı 2019 yılından beri kullanılmaktadır.
Glupteba’yı Bozmak Neden Zor?
Nozomi Networks’teki araştırmacılar yazdı Bitcoin blok zinciri modern kriptografi kullanılarak geliştirildiğinden, mekanizma son derece güvenlidir, bu nedenle botnet’i ele geçirmek imkansızdır. Ek olarak, tehdit aktörleri yükleri kolayca şifreleyebilir ve uygun maliyetli ve sağlam bir veri depolama planı sağlayabilir.
Google, Glupteba operatörlerine karşı açılan davayı kazandığını iddia etti ve mahkeme, sanıklar ve ABD’deki avukatlarına yasal para cezası ödemelerini emretti. Sanıklar işbirliği yapacaklarını iddia ediyorlar, ancak Google’ın Glupteba’yı devirme girişimini atlatmaya yardımcı olacak bilgileri elde etmek için mahkemeyi kullandıkları için mahkemeyi yanılttılar.
Artık operatörler, Google tabanlı olmayan farklı platformlarda faaliyetlerine devam ettiler ve IoT cihazları. Ancak şirket, virüs bulaşan ana bilgisayarların sayısında %78’e varan bir azalmaya neden olduğu için kesinti girişiminin kısmen başarılı olduğunu iddia ediyor.
Alakalı haberler
- FIN8, Yeni Sardonic Arka Kapı ile Yeniden Ortaya Çıkıyor
- Emotet kötü amaçlı yazılımı, Trickbot kötü amaçlı yazılımı aracılığıyla botnet oluşturarak yeniden ortaya çıkıyor
- Mirai botnet, D-Link cihazlarını hedeflemek için MooBot varyantıyla yeniden ortaya çıkıyor
- Anubis kötü amaçlı yazılımı, kripto cüzdanlarını ve bankacılık uygulamalarını hedef alarak yeniden ortaya çıkıyor