Google TAG stör Glupteba Botnet-drift
Googles Threat Analysis Group tillkännagav den framgångsrika avbrottet av det ökända botnätet Glupteba denna vecka. Botnätet installerade ökänt crypto-mining malware på offersystem och hade enligt uppgift spridit sig till omkring 1 miljon infekterade värdar, inklusive både Internet of things-enheter och Windows-baserade datorer.
Enligt Googles TAG-rapport kommer störningen att orsaka avsevärda problem och göra att operatörerna av Glupteba inte kan komma åt kritisk kommando- och kontrollinfrastruktur, vilket effektivt sätter botnätet utom räckhåll. Googles säkerhetsforskningsteam uppgav dock också att det förväntas att Glupteba-operatörerna också har ett sätt att återställa och tillgripa sekundär C2-infrastruktur genom att använda data som lagras i Bitcoin-blockkedjan.
Vad är Glupteba?
Glupteba var känd för att använda olika attackvektorer för att infektera målsystem. Dessa attackmetoder sträckte sig från att använda skadliga dokument till att gömma sig i "sprickor" för piratkopierad programvara och applikationer. Den skadliga programvaran Glupteba kunde också tyst bryta kryptovaluta på offrets system genom sin dedikerade modul, samt exfiltrera inloggningsuppgifter och filer från offrets enheter, vilket gör det till en formidabel skadlig verktygslåda.
Upptäckten av en enda git-repository-URL i koden för en Glupteba-binär som höll på att omvändas och undersöktes satte forskare på spåret som ledde till att botnätet slutligen stördes.
Borttagning av botnät i ett massivt svep
Efter att ha tipsats av URL:en lyckades forskargruppen så småningom stänga av en rad onlinetjänster som tillhör Gluptebas operatörer. Tjänsterna i fråga användes för att sälja stulna referenser samt stulen kreditkortsinformation. De kapade betalningsmetoderna användes också för skadliga syften, med dåliga aktörer som betalade illegalt för skadliga annonskampanjer eller gjorde bedrägliga betalningar på Google Ads. Under svepet för att ta ner botnätets C2-infrastruktur arbetade Googles team tillsammans med CloudFlare för att ta ner servrar och placera varningsmeddelanden som laddas innan ett system kan komma åt en skadlig domän. Dessutom stängdes nästan 900 Google Ads-konton ner, liksom över 900 molnprojekt och över 1 300 Google-konton.