Google TAG 破壞了 Glupteba 殭屍網絡的運行

谷歌的威脅分析小組本周宣布成功破壞臭名昭著的 Glupteba 殭屍網絡。該殭屍網絡臭名昭著地在受害者係統上安裝加密挖掘惡意軟件，據報導已傳播到大約 100 萬台受感染主機，包括物聯網設備和基於 Windows 的計算機。

根據谷歌的 TAG 報告，中斷將導致相當大的問題，並使 Glupteba 的運營商無法訪問關鍵的命令和控制基礎設施，從而有效地使殭屍網絡無法觸及。不過，谷歌安全研究團隊也表示，預計 Glupteba 運營商也有辦法通過使用保存在比特幣區塊鏈中的數據來恢復和訴諸二級 C2 基礎設施。

什麼是Glupteba？

眾所周知，Glupteba 會使用各種攻擊媒介來感染目標系統。這些攻擊方法的範圍從使用惡意文檔到隱藏在盜版軟件和應用程序的“裂縫”中。 Glupteba 惡意軟件還能夠通過其專用模塊在受害者係統上悄悄地挖掘加密貨幣，並從受害者的驅動器中竊取登錄憑據和文件，使其成為一個強大的惡意工具包。

在被逆向工程和檢查的 Glupteba 二進製文件的代碼中發現單個 git 存儲庫 URL 使研究人員走上了導致殭屍網絡最終中斷的線索。

大規模清除殭屍網絡

一旦得到 URL 的提示，研究團隊最終設法關閉了屬於 Glupteba 運營商的一系列在線服務。有問題的服務被用來出售被盜的憑證以及被盜的信用卡信息。被劫持的付款方式也被用於惡意目的，不良行為者為惡意廣告活動非法付款或在 Google Ads 上進行欺詐付款。在清除殭屍網絡的 C2 基礎設施期間，谷歌的團隊與 CloudFlare 合作關閉服務器並放置警告消息，這些消息在系統可以訪問惡意域之前加載。此外，近 900 個 Google Ads 帳戶以及 900 多個雲項目和 1300 多個 Google 帳戶被關閉。