Glupteba Botnet继续蓬勃发展，尽管谷歌试图破坏它

Glupteba僵尸网络的运营商于2022年6月重新出现，这是一场新的“升级”运动的一部分，几个月前谷歌破坏了恶意活动。

网络安全公司Nozomi Networks在一篇文章中表示，正在进行的攻击表明了恶意软件在被摧毁时的韧性。“此外，自2021战役以来，用作C2服务器的TOR隐藏服务增加了十倍，”该公司表示。

该恶意软件通过欺诈广告或软件漏洞分发，还可以检索额外的有效载荷，使其能够窃取凭据、挖掘加密货币，并通过利用MikroTik和Netgear的物联网设备中的漏洞来扩大其覆盖范围。

这也是一个不寻常的恶意软件的例子，该恶意软件至少自2019年以来就利用区块链作为命令和控制（C2）机制，使其基础设施像传统服务器一样难以拆除。

具体而言，僵尸网络旨在搜索公共比特币区块链中与威胁行为者拥有的钱包地址相关的交易，以获取加密的C2服务器地址。

这家工业和物联网安全公司解释道：“这是通过OP_RETURN操作码实现的，该操作码可以在签名脚本中存储多达80字节的任意数据”。并补充道，该机制也使Glupteba难以拆除，因为“无法擦除或审查经验证的比特币交易”。

该方法还可以方便地在C2服务器被拆除时更换它，因为运营商所需要的只是用编码的更新服务器从参与者控制的比特币钱包地址发布新的交易。

2021 12月，谷歌成功地大幅削弱了其运营，并对两名监控僵尸网络的俄罗斯国民提起诉讼。上个月，美国一家法院作出了有利于这家科技巨头的裁决。

这家互联网巨头在11月指出：“虽然Glupteba运营商已经恢复了在一些非谷歌平台和物联网设备上的活动，但对该集团的法律关注使其不太吸引其他犯罪活动与他们合作”。

Nozomi Networks检查了上传到VirusTotal的1500多个Glupteba样本，表示能够提取出15个钱包地址，这些地址可以追溯到2019年6月19日，被威胁行为者使用。

2022年6月开始的这场运动可能也是过去几年来最大的一次浪潮，恶意比特币地址数量从2021的四个激增到17个。

其中一个地址于2022年6月1日首次活跃，迄今已交易11次，被用于多达1197件文物，成为使用最广泛的钱包地址。最后一笔交易记录于2022年11月8日。

研究人员表示：“威胁行为者越来越多地利用区块链技术发动网络攻击”。“通过利用区块链的分布式和去中心化性质，恶意行为者可以利用其匿名性进行各种攻击，从恶意软件传播到勒索软件分发”。