Glupteba botnet is back after Google disrupted it in December 2021
2022/12/19 SecurityAffairs — 2021年12月に Google は、Grupteba ボットネットが運用するインフラを停止したことを発表し、また、ボットネットを作成/運用したとするロシア人 Dmitry Starovikov と Alexander Filippov を提訴した。Grupteba ボットネットは 2011年ころから活動しており、2021年12月時点で研究者たちは、世界中に点在する 100万台以上の Windows PC により、このブロックチェーン対応のボットネットが構成されていると推定していた。
このボットネットは、ユーザーの認証情報およびデータの窃取/被害者のリソースを悪用した暗号通貨のマイニングに加えて、感染させたマシンやルーターを介して他人のインターネット・トラフィックを流すプロキシ設定などに関与したとされる。
このボットネットの運営者は、クラックされたソフトウェアや、海賊版ソフトウェア、ペイ・パー・インストール (PPI) スキームなどを通じて、マルウェアを拡散させていた。
現時点において Nozomi Networks の研究者たちは、この Grupteba ボットネットが復活し、世界中で感染数が急増していることを報告している。C2 サーバとして使用される TOR 隠しサービスの増加とともに、悪意のあるビットコイン・アドレスが大幅に増加していることに、彼らは気づいている。
Google が訴訟した後に研究者たちは、2022年6月に始まった新しいキャンペーンを観察し、現在も進行中であることを確認している。Nozomi はブロックチェーン全体を分析して、このボットネットが使用する C2 ドメインを発見した。彼らは、VirusTotal から 1500以上の Grupteba サンプルをダウンロードし、運営者が使用するウォレット・アドレスを追跡しているという。
研究者たちは、2019年以降において、少なくとも5つの商社や取引所が Grupteba アドレスの資金調達に悪用されたと考えている。この4年間で、彼らは 15 の Grupteba ビットコイン・アドレスを特定したが、それらは4種類キャンペーンに関与していると思われる。
Nozomi のレポートは、「このキャンペーンに関連して、私たちが集めたアドレスのうち、3つについてはサンプルを見つけることができなかった。我々は、これらのアドレスは、我々がサンプルを見つけた他のビットコイン・アドレスで発見された、いくつかのドメインを配布しているため、テスト用に作られていないと考えている。さらに、2021年のキャンペーン以降において、C2 サーバとして使用される TOR 隠しサービスが10倍に増加していた」と指摘している。
専門家たちは、パッシブ DNS レコードを使用して Grupteba のドメインとホストを明らかにし、ボットが使用する TLS 証明書の最新セットを分析することで、攻撃者が使用するインフラを把握した。
それらのアドレスの1つには、1,197 のサンプルが使用する、11 のトランザクションが存在し、最新のアクティビティは 2022年11月8日に報告されている。
このレポートでは、「最近に Google が、有利な判決を勝ち取ったことで、Grupteba の運用に深刻な打撃を与えることを期待しているが、1年後には復活する可能性が高いだろう。現実に、Grupteba は約半年で、新たなキャンペーンをゼロから構築し、はるかに大規模な配布を成功させた。防御者に対しては、blockchain.info のようなブロックチェーン関連のドメインだけではなく、Grupteba の既知の C2 ドメインもブロックすることを強く推奨する。また、DNS ログを監視し、ウイルス対策ソフトウェアを最新の状態に保つことで、Grupteba 感染の可能性を防ぐことを推奨する」と記されている。
2021年12月17日に「Google が宣戦布告:巨大なロシアン・ボットネット Glupteba を潰せ」という記事をポストしています。この記事で Google は、「残念ながら、Grupteba が回復力のメカニズムとして、ブロックチェーン技術を使用している。それが注目すべき点であるが、サイバー犯罪組織の間では一般的な手法になりつつある」と述べています。巧妙に設計されたボットネットは、叩いても叩いても、復活してくるのでしょうか。
IoT OT Security News 
You must be logged in to post a comment.