【安全资讯】谷歌宣布已关闭Glupteba僵尸网络

安恒威胁情报中心 2021-12-08 15:14:33 235人浏览

引言

12月7日,谷歌宣布已采取行动破坏了大规模 Glupteba僵尸网络。Glupteba自2011年以来一直活跃,是一种支持区块链的模块化恶意软件,控制着全球超过 100 万台 Windows PC设备,主要针对美国、印度、巴西和东南亚国家,每天增加数千台新的受感染设备。

 

 

简况

Glupteba僵尸网络主要通过PPI网络和和从流量分配系统 (TDS) 购买的流量进行分发,可以窃取用户凭据和cookie,在受感染主机上挖矿,或在 Windows 系统和物联网设备上部署代理。

 

 

一个伪装成破解软件下载的网页如下,该网页向用户提供了 Glupteba 的变体:

 

 

Glupteba僵尸网络使用 HTTPS 在控制服务器和受感染系统之间传送命令和二进制更新。为了增加基础设施的弹性,运营商还使用比特币区块链实施了备份机制。如果主 C2 服务器没有响应,受感染的系统可以从以下比特币钱包地址检索在最新交易中加密的备份域:

  • '1CgPCp3E9399ZFodMnTSSvaf5TpGiym2N1'
  • '15y7dskU5TqNHXRtu5wzBpXdY5mT4RZNC6'
  • '1CUhaTe3AiP9Tdr4B6weedoe9vNsymLiD97'

 

 

Glupteba 僵尸网络运营商还提供以下服务:出售对加载了被盗凭证的虚拟机的访问权限 (dont[.]farm)、代理访问权限 (awmproxy),以及出售信用卡号 (extracard) ,攻击者可以利用这些权限投放恶意广告以及付款欺诈活动。

 

 

谷歌还对两名俄罗斯嫌疑人德米特里·斯塔罗维科夫和亚历山大·菲利波夫,以及其他 15 名身份不明的人提出了临时限制令和起诉。谷歌表示,这17 名被告人是操作 Glupteba僵尸网络的攻击者。

 

 

总结

目前,谷歌已经终止了大约 6300 万个 Google Docs。这一行动将对Glupteba的运营产生显著的影响。然而,研究人员表示,Glupteba 的运营商可能会尝试使用备份命令和控制机制重新控制僵尸网络。

失陷指标(IOC)9
僵尸网络Botnet Glupteba 其他
    0条评论
    0
    0
    分享
    安恒威胁情报中心专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。