Google TAG unterbricht den Betrieb des Glupteba-Botnets
Die Threat Analysis Group von Google gab diese Woche die erfolgreiche Unterbrechung des berüchtigten Botnets Glupteba bekannt. Das Botnet installierte berüchtigt Krypto-Mining-Malware auf Opfersystemen und hatte sich Berichten zufolge auf rund 1 Million infizierte Hosts ausgebreitet, darunter sowohl Internet-of-Things-Geräte als auch Windows-basierte Computer.
Laut dem TAG-Bericht von Google wird die Störung erhebliche Probleme verursachen und dazu führen, dass die Betreiber von Glupteba nicht in der Lage sind, auf kritische Befehls- und Kontrollinfrastruktur zuzugreifen, wodurch das Botnet effektiv außer Reichweite ist. Das Sicherheitsforschungsteam von Google erklärte jedoch auch, dass erwartet wird, dass die Glupteba-Betreiber auch eine Möglichkeit haben, die sekundäre C2-Infrastruktur wiederherzustellen und auf diese zurückzugreifen, indem sie Daten verwenden, die in der Bitcoin-Blockchain gespeichert sind.
Was ist Glupteba?
Glupteba war dafür bekannt, verschiedene Angriffsvektoren zu verwenden, um Zielsysteme zu infizieren. Diese Angriffsmethoden reichten von der Verwendung bösartiger Dokumente bis hin zum Verstecken in "Cracks" für raubkopierte Software und Anwendungen. Die Glupteba-Malware war auch in der Lage, über ihr dediziertes Modul leise Kryptowährungen auf dem System des Opfers zu minen sowie Anmeldeinformationen und Dateien von den Laufwerken des Opfers zu exfiltrieren, was sie zu einem beeindruckenden bösartigen Toolkit macht.
Die Entdeckung einer einzelnen Git-Repository-URL im Code einer Glupteba-Binärdatei, die zurückentwickelt und untersucht wurde, brachte die Forscher auf die Spur, die schließlich zur Unterbrechung des Botnets führte.
Botnet-Takedown in einem massiven Schwung
Nach dem Hinweis durch die URL gelang es dem Forschungsteam schließlich, eine Reihe von Online-Diensten der Betreiber von Glupteba zu schließen. Die fraglichen Dienste wurden verwendet, um gestohlene Zugangsdaten sowie gestohlene Kreditkarteninformationen zu verkaufen. Die gehackten Zahlungsmethoden wurden auch für böswillige Zwecke verwendet, wobei böswillige Akteure illegal für böswillige Werbekampagnen bezahlten oder betrügerische Zahlungen bei Google Ads tätigten. Während des Sweeps zur Deaktivierung der C2-Infrastruktur des Botnetzes arbeitete Googles Team mit CloudFlare zusammen, um Server herunterzufahren und Warnmeldungen zu platzieren, die geladen werden, bevor ein System auf eine bösartige Domain zugreifen kann. Darüber hinaus wurden fast 900 Google Ads-Konten sowie über 900 Cloud-Projekte und über 1300 Google-Konten geschlossen.