GoogleTAGがGluptebaボットネットの運用を中断
GoogleのThreatAnalysis Groupは、今週、悪名高いGluptebaボットネットの破壊に成功したことを発表しました。ボットネットは、被害者のシステムに暗号マイニングマルウェアを悪名高くインストールしており、モノのインターネットデバイスとWindowsベースのコンピューターの両方を含む約100万の感染したホストに拡散したと報告されています。
GoogleのTAGレポートによると、混乱はかなりの問題を引き起こし、Gluptebaのオペレーターは重要なコマンドアンドコントロールインフラストラクチャにアクセスできなくなり、ボットネットを事実上手の届かないところに置きます。ただし、Googleのセキュリティ調査チームは、Gluptebaオペレーターも、ビットコインブロックチェーンに保持されているデータを使用して、セカンダリC2インフラストラクチャを復元して利用する方法があると予想されていると述べました。
グルプテバとは?
Gluptebaは、さまざまな攻撃ベクトルを使用してターゲットシステムに感染することが知られていました。これらの攻撃方法は、悪意のあるドキュメントを使用することから、海賊版ソフトウェアやアプリケーションの「クラック」に隠れることまで多岐にわたりました。 Gluptebaマルウェアは、専用モジュールを介して被害者のシステムで暗号通貨を静かにマイニングし、被害者のドライブからログイン資格情報とファイルを盗み出し、手ごわい悪意のあるツールキットにすることもできました。
リバースエンジニアリングおよび調査されていたGluptebaバイナリのコードで単一のgitリポジトリURLが発見されたため、研究者はボットネットの最終的な混乱につながる道を歩み始めました。
大規模なスイープでのボットネットの削除
URLが表示されると、調査チームは最終的にGluptebaのオペレーターが所有する一連のオンラインサービスをシャットダウンすることに成功しました。問題のサービスは、盗まれたクレデンシャルと盗まれたクレジットカード情報を販売するために使用されました。ハイジャックされた支払い方法は悪意のある目的にも使用され、悪意のある人物が悪意のある広告キャンペーンに違法に支払いをしたり、Google広告で不正な支払いを行ったりしました。ボットネットのC2インフラストラクチャを停止するためのスイープ中に、GoogleのチームはCloudFlareと協力してサーバーを停止し、システムが悪意のあるドメインにアクセスする前に読み込まれる警告メッセージを配置しました。さらに、900近くのGoogle広告アカウント、900以上のクラウドプロジェクト、1300以上のGoogleアカウントが閉鎖されました。