Die Betreiber des Glupteba-Botnetzes tauchten im Juni 2022 im Rahmen einer erneuten und „aufgestockten“ Kampagne wieder auf, Monate nachdem Google die bösartigen Aktivitäten gestoppt hatte.
Die anhaltenden Angriffe zeigen, wie widerstandsfähig die Malware ist, wenn sie aus dem Verkehr gezogen wird, so das Cybersicherheitsunternehmen Nozomi Networks in einem Bericht. „Außerdem hat sich die Zahl der versteckten TOR-Dienste, die als C2-Server genutzt werden, seit der Kampagne 2021 verzehnfacht“, heißt es dort.
Die Schadsoftware, die über betrügerische Werbung oder Software-Cracks verbreitet wird, ist außerdem in der Lage, zusätzliche Nutzdaten abzurufen, die es ihr ermöglichen, Zugangsdaten zu stehlen, Kryptowährungen zu schürfen und ihre Reichweite durch die Ausnutzung von Schwachstellen in IoT-Geräten von MikroTik und Netgear zu vergrößern.
Es ist auch ein Beispiel für eine ungewöhnliche Malware, die seit mindestens 2019 die Blockchain als Mechanismus für Command-and-Control (C2) nutzt, was die Infrastruktur des Botnetzes resistent gegen Maßnahmen zur Bekämpfung macht, wie es bei einem herkömmlichen Server der Fall wäre.
Das Botnet ist so konzipiert, dass es die öffentliche Bitcoin-Blockchain nach Transaktionen durchsucht, die sich auf Wallet-Adressen beziehen, die dem Bedrohungsakteur gehören, um die verschlüsselte C2-Serveradresse zu erhalten.
„Dies wird durch den OP_RETURN-Opcode ermöglicht, der es erlaubt, bis zu 80 Byte beliebiger Daten innerhalb des Signaturskripts zu speichern“, erklärt das Industrie- und IoT-Sicherheitsunternehmen und fügt hinzu, dass Glupteba durch diesen Mechanismus nur schwer ausgehebelt werden kann, da es keine Möglichkeit gibt, eine validierte Bitcoin-Transaktion zu löschen oder zu zensieren.
Die Methode macht es auch einfach, einen C2-Server zu ersetzen, wenn er abgeschaltet wird, da die Betreiber nur eine neue Transaktion von der vom Akteur kontrollierten Bitcoin-Wallet-Adresse mit dem verschlüsselten aktualisierten Server veröffentlichen müssen.
Im Dezember 2021 gelang es Google, den Operationen einen erheblichen Dämpfer zu verpassen und gleichzeitig eine Klage gegen zwei russische Staatsangehörige einzureichen, die das Botnetz kontrollierten. Letzten Monat entschied ein US-Gericht zu Gunsten des Tech-Giganten.
„Während die Betreiber von Glupteba ihre Aktivitäten auf einigen Nicht-Google-Plattformen und IoT-Geräten wieder aufgenommen haben, macht es die rechtliche Verfolgung der Gruppe für andere kriminelle Organisationen weniger attraktiv, mit ihr zusammenzuarbeiten“, erklärte der Internetriese im November.
Nozomi Networks untersuchte über 1.500 Glupteba-Samples, die bei VirusTotal hochgeladen wurden, und konnte 15 Wallet-Adressen ausfindig machen, die von den Bedrohungsakteuren bis zum 19. Juni 2019 genutzt wurden.
Die laufende Kampagne, die im Juni 2022 begann, ist vielleicht auch die größte Welle der letzten Jahre, denn die Zahl der betrügerischen Bitcoin-Adressen stieg von vier im Jahr 2021 auf 17.
Eine dieser Adressen, die zum ersten Mal am 1. Juni 2022 aktiv wurde, hat bis heute 11 Transaktionen durchgeführt und wird in 1.197 Artefakten verwendet, was sie zur meistgenutzten Wallet-Adresse macht. Die letzte Transaktion wurde am 8. November 2022 aufgezeichnet.
„Bedrohungsakteure nutzen die Blockchain-Technologie zunehmend, um Cyberangriffe zu starten“, so die Forscher. „Indem sie sich die verteilte und dezentrale Natur der Blockchain zunutze machen, können böswillige Akteure ihre Anonymität für eine Vielzahl von Angriffen ausnutzen, die von der Verbreitung von Malware bis zur Verbreitung von Ransomware reichen“.