Google TAG 破坏了 Glupteba 僵尸网络的运行

谷歌的威胁分析小组本周宣布成功破坏臭名昭著的 Glupteba 僵尸网络。该僵尸网络臭名昭著地在受害者系统上安装加密挖掘恶意软件，据报道已传播到大约 100 万台受感染主机，包括物联网设备和基于 Windows 的计算机。

根据谷歌的 TAG 报告，中断将导致相当大的问题，并使 Glupteba 的运营商无法访问关键的命令和控制基础设施，从而有效地使僵尸网络无法触及。不过，谷歌安全研究团队也表示，预计 Glupteba 运营商也有办法通过使用保存在比特币区块链中的数据来恢复和诉诸二级 C2 基础设施。

什么是Glupteba？

众所周知，Glupteba 会使用各种攻击媒介来感染目标系统。这些攻击方法的范围从使用恶意文档到隐藏在盗版软件和应用程序的“裂缝”中。 Glupteba 恶意软件还能够通过其专用模块在受害者系统上悄悄地挖掘加密货币，并从受害者的驱动器中窃取登录凭据和文件，使其成为一个强大的恶意工具包。

在被逆向工程和检查的 Glupteba 二进制文件的代码中发现单个 git 存储库 URL 使研究人员走上了导致僵尸网络最终中断的线索。

大规模清除僵尸网络

一旦得到 URL 的提示，研究团队最终设法关闭了属于 Glupteba 运营商的一系列在线服务。有问题的服务被用来出售被盗的凭证以及被盗的信用卡信息。被劫持的付款方式也被用于恶意目的，不良行为者为恶意广告活动非法付款或在 Google Ads 上进行欺诈付款。在清除僵尸网络的 C2 基础设施期间，谷歌的团队与 CloudFlare 合作关闭服务器并放置警告消息，这些消息在系统可以访问恶意域之前加载。此外，近 900 个 Google Ads 帐户以及 900 多个云项目和 1300 多个 Google 帐户被关闭。