После уничтожения Google ботнет стал ещё опаснее и уже заразил устройства по всему миру.
Исследователи ИБ-компании Nozomi заявили , что ботнет проводит новую крупномасштабную кампанию Glupteba, которая началась в июне 2022 года и продолжается до сих пор.
В декабре 2021 года Google удалось нанести значительный ущерб деятельности ботнета, а также подать иск против двух граждан России , которые курировали Glupteba. В прошлом месяце суд США вынес решение в пользу технологического гиганта.
Glupteba продолжает использовать блокчейн прежним способом, поэтому аналитики просканировали весь блокчейн, чтобы обнаружить скрытые домены C&C-серверов.
Эксперты изучили 1500 образцов Glupteba, загруженных на VirusTotal, для извлечения адресов кошельков и расшифровки данных полезной нагрузки транзакций с использованием ключей, связанных с вредоносным ПО.
Расследование Nozomi выявило 15 биткойн-адресов, используемых в 4-ех кампаниях Glupteba, последняя из которых началась в июне 2022 года и продолжается до сих пор. В этой кампании используется больше биткойн-адресов, чем в предыдущих операциях, что придает ботнету еще большую устойчивость. Самый продуктивный биткойн-адрес адрес провел 11 транзакций и передавался 1197 образцам, а его последняя активность была зарегистрирована 8 ноября 2022 года.
https://www.securitylab.ru/upload/im...t-img(964).png
Диаграммы транзакций в блокчейне. Слева направо: кампании 2022 года (наиболее сложные), 2021, 2020 и 2019 г.
Кроме того, количество скрытых TOR-сервисов, используемых в качестве C&C-серверов, выросло в 10 раз по сравнению с кампанией 2021 года благодаря аналогичному подходу к резервированию. Nozomi также сообщает, что операторы ботнета 22 ноября зарегистрировали множество новых доменов Glupteba.
Ботнет Glupteba вернулся и стал более разрушительным, а также более устойчивым, создав большое количество резервных адресов, чтобы противостоять захвату инфраструктуры со стороны исследователей и правоохранительных органов.