Sex månader efter att Google togs bort, Glupteba-gänget är tillbaka i aktion med förbättrade kontroller och ännu fler vapen.
Genom att utnyttja blockkedjan hämtar Glupteba-hackare sina plånboksadresser, C2-serverdetaljer och för andra operationer. Även om detta gör gängets verksamhet offentlig, gör det det motståndskraftigt mot normala nedläggningar av brottsbekämpande myndigheter.
Glupteba Hackers återfödelse
I december förra året, Google tog ner driften av Glupteba – en hotaktör i nyåldern som utnyttjar Bitcoin-blockkedjan för att utföra sina skadliga operationer. För att säkerställa domstolsbesluten hade Google tagit kontroll över botnätets infrastruktur och till och med lämnat in klagomål mot två ryska operatörer.
Nåväl, detta hindrade inte operatörerna från att backa, eftersom de nu har kommit med ett förnyat botnätsystem. Som noterade av Nozomi-forskare, de senaste proverna av Glupteba avslöjade ett gäng nya domäner, en utökad C2 och andra verktyg för att öka dess omfattning i den andra iterationen.
Vanligtvis träffar botnätet Windows-enheter för att bryta efter kryptovaluta, stjäla användaruppgifter och distribuera proxyservrar på Windows-system – och sälja dem till andra hotaktörer för att använda dem som bostadsproxy.
Allt detta på Bitcoin-blockkedjan, som Glupteba använder för att hämta sin senaste C2-adress, plånboksadresser, etc. Även om alla kan se och granska transaktionerna som sker på blockchain, är den tillräckligt motståndskraftig mot borttagningar, eftersom brottsbekämpning behöver Bitcoins privata nyckel för att styra operationen.
Nyligen skannade Nozomi-forskare hela blockkedjan och prover för att visa upp den nya kampanjens C2-domäner, extrahera plånboksadresser och till och med försöka dekryptera transaktionens nyttolast.
De identifierade vidare 15 Bitcoin-adresser som användes i fyra kampanjer, där den senaste var från juni 2022. Domänregistreringarna som tillhör Glupteba-gänget är till och med enorma, med den senaste den 22 november 2022. Eftersom kampanjen fortfarande pågår kan vi se att fler detaljer nyss upp under processen.