- Nozomi 表示,最新和正在进行的 Glupteba 活动始于 2022 年 6 月,即谷歌诉讼后 6 个月。
- 网络安全公司Nozomi也表示,这次恶意比特币地址的数量显着增加。
- 该团队确定了 15 个 Glupteba 比特币地址,这些地址在四年内产生了四个不同的活动。
Nozomi Networks Labs宣布 Glupteba 木马再次以 Windows 设备为目标,并分享了他们在 Glupteba 上的最新发现。自 2019 年以来,它以使用比特币区块链来分发其命令和控制服务器而闻名。它使用 blockchain.com 和 blockstream.info 来检索比特币交易。
被谷歌打乱
2021 年底,谷歌通过法院命令控制其基础设施,扰乱了 Glupteba 的运营。谷歌还对两家俄罗斯运营商提出了投诉。半年后,也就是2022年6月,Glupteba再次出现。
Nozomi 表示,后门木马是通过受感染的安装程序或软件破解中的按安装付费网络下载的。一旦它在系统上处于活动状态,它允许操作员部署其他模块。有几个 Glupteba 模块旨在利用各种物联网设备中的漏洞。
僵尸网络使用比特币区块链将其命令和控制域分配给受感染的系统,这使得它能够抵御攻击。它还使用相同的方法在区块链中隐藏数据。在他们的研究过程中,Nozomi 设法确定了 15 个 Glupteba 比特币地址,这些地址在 4 年内产生,据信这是 4 个不同的活动。Nozomi Networks Labs 表示,
« 最新和正在进行的活动始于 2022 年 6 月,即谷歌诉讼后 6 个月,这次恶意比特币地址的数量显着增加。我们认为这是由几个因素造成的。首先,拥有更多的比特币地址会使安全研究人员的工作更加复杂。其次,表明谷歌诉讼并未对其 Glupteba 业务产生重大影响。对于这次活动,我们无法找到我们收集的 3 个地址的任何样本。我们认为这些地址不是为了测试而创建的,因为它们分发了在我们找到样本的其他比特币地址中发现的一些域。此外,自 2021 年活动以来,用作 C2 服务器的 TOR 隐藏服务增加了十倍。»
