Glupteba Trojan IOCs

remote access Trojan IOC

Угрожающие субъекты все чаще используют технологию блокчейн для проведения кибератак. Используя преимущества распределенной и децентрализованной природы блокчейна, злоумышленники могут использовать его анонимность для различных атак, начиная от распространения вредоносного ПО и заканчивая распространением программ-выкупов. Троян Glupteba является примером того, как злоумышленники используют технологии на основе блокчейна для осуществления своей вредоносной деятельности.

Glupteba

Glupteba - это троян с бэкдором, который загружается через сети Pay-Per-Install - рекламные кампании в Интернете, предлагающие загрузить программное обеспечение или приложения - в зараженных установщиках или программных крэках. Как только Glupteba становится активным в системе, операторы ботнета могут развернуть дополнительные модули от похитителя учетных данных для использования наборов, компрометирующих устройства в целевой сети. Существует несколько модулей Glupteba, направленных на эксплуатацию уязвимостей в различных устройствах Интернета вещей (IoT) от таких производителей, как MikroTik и Netgear.

Glupteba использует блокчейн Bitcoin для распространения своих доменов командования и управления (C2) на зараженные системы. Помимо того, что это необычная техника, этот механизм также чрезвычайно устойчив к взлому, поскольку нет способа стереть или подвергнуть цензуре подтвержденную транзакцию Bitcoin. Используя тот же подход, который Glupteba применяет для сокрытия данных в блокчейне, исследователи могут искать вредоносные транзакции и восстанавливать их полезную нагрузку. Если указанные домены не хранятся в открытом тексте, реверсирование образцов Glupteba позволяет исследователям безопасности расшифровать полезную нагрузку и получить доступ к встроенным доменам.

Блокчейн Биткойна можно использовать для хранения произвольных данных. Это возможно благодаря опкоду OP_RETURN, который позволяет хранить до 80 байт произвольных данных внутри скрипта подписи. Такой механизм хранения имеет несколько преимуществ. Во-первых, он устойчив к взлому. После подтверждения транзакции ее невозможно стереть - такова природа блокчейна. Использование этого механизма для распространения домена C2 означает, что у сотрудников правоохранительных органов, защитников сети и служб реагирования на инциденты нет возможности перехватить адрес Биткойна и стереть транзакцию. То, как блокчейн Bitcoin построен на основе современной криптографии, также делает этот механизм безопасным; без закрытого ключа адреса Bitcoin невозможно отправить транзакцию с такой полезной нагрузкой данных, исходящей от вредоносного адреса, следовательно, захват ботнета невозможен. Кроме того, субъекты угроз могут зашифровать свою полезную нагрузку от посторонних глаз, что делает схему хранения данных надежной и экономически эффективной.

Эта техника также использовалась в прошлом программой Cerber ransomware. Транзакции Bitcoin, исходящие с определенных адресов, отслеживались, и первые 6 символов адреса назначения использовались вместе с добавлением ДВУ .top для> создания домена, который использовался для запроса активной инфраструктуры C2.

Известно, что Glupteba использует аналогичный механизм, используя OP_RETURN вместо адресов назначения для распространения своих C2-доменов. В случае, если домен C2 будет удален, операторам ботнета достаточно отправить новую транзакцию с адреса Bitcoin, распределяющего домены, и вуаля, вредоносная программа скорректирует свою конфигурацию при следующем обновлении C2. Последняя выявленная биткоин-транзакция Glupteba датируется 8 ноября 2022 года с встроенной полезной нагрузкой 000c0b0006171c11064d150a0b16.

Известно, что Glupteba использует блокчейн Bitcoin для распространения своих серверов C2, по крайней мере, с 2019 года. Для получения транзакций Bitcoin используется несколько провайдеров, обычно blockchain.com и blockstream.info. Функция Glupteba, отвечающая за запрос к blockchain.com для получения данных о транзакциях.

Способ защиты доменов в рамках транзакций немного изменился с течением времени. В 2019 году Glupteba использовала AES-GCM для защиты и встраивания данных в транзакции биткоина. Каждый образец поставлялся с жестко закодированным ключом и вектором инициализации, позволяющим образцу расшифровать полезную нагрузку из транзакции биткоина.

В более новых версиях вредоносной программы эта схема была заменена на простой шифр XOR, который используется в настоящее время.

Indicators of Compromise

Domains

  • anotheronedom.com
  • cdneurop.cloud
  • cdneurops.buzz
  • cdneurops.health
  • cdneurops.pics
  • cdneurops.shop
  • cdntokiog.studio
  • checkpos.net
  • dafflash.com
  • deepsound.live
  • duniadekho.bar
  • easywbdesign.com
  • filimaik.com
  • getfixed.xyz
  • getyourgift.life
  • gfixprice.xyz
  • godespra.com
  • greenphoenix.xyz
  • limeprime.com
  • mastiakele.ae.org
  • mastiakele.cyou
  • mastiakele.icu
  • mastiakele.xyz
  • maxbook.space
  • mydomelem.com
  • myinfoart.xyz
  • nameiusr.com
  • newcc.com
  • nisdably.com
  • revouninstaller.homes
  • robotatten.com
  • sleepingcontrol.com
  • sndvoices.com
  • tyturu.com
  • venoxcontrol.com
  • younghil.com
  • zaoshang.moscow
  • zaoshang.ooo
  • zaoshang.ru
  • zaoshanghao.su
  • zaoshanghaoz.net

Onion Domains

  • 2pkktxkf3gnpcjh2bhi62arz2ieyjgxocb3jne3kc2nu2yvyxqq23nad.onion
  • 3ebu257qh2dlauxqj7cgv3i55e4orb55mwgqf4tq7eicsa3dfhr4aaid.onion
  • 7owe32rodnp3vnx2ekqncoegxolkmb3m2fex5zu6i2bg7ktivhwvczqd.onion
  • bihgkrr546ctjdn4mwr7x4bhvwz55sftx6xir6cwlfo6rhppd2eu7syd.onion
  • c43tnmrkzfmkjyd3j4v6xbyrd67q6pskzy67dwkzj36uoqwpoju2loyd.onion
  • dg2sz7pxs7llf2t25fsbutlvvrjij4pmojugn75cmxnvoshmju6dzcad.onion
  • maesvpovrwqfaqjw44bbeb2w62h6n7eyosbeit7rfrrdbyjymqaxfryd.onion
  • papmcl4r32awafck75y5446n252qqqq4h6c4y2slaayposrtfbcebdqd.onion
  • r5vg4h5rlwmo6oa3p3vlckuvf5na2wb2tnqbsbkivhrhlyze6czlpjad.onion
  • x4l2doee6uhhf3lqjvjodgqtxsjvwbkdqyldhwyhwkhf4y23aqq7jayd.onion
  • yeug3c6mnwocixwlotka4nwo3fjtfic65o4psmpxvrdul5q7dgjmsvad.onio
  • yeug3c6mnwocixwlotka4nwo3fjtfic65o4psmpxvrdul5q7dgjmsvad.onion

Wallet Address

  • 12EfzLra6LttQ8RWvBTDzJUjYE6eRxx4TY
  • 14XZhcCJDguZuZF4p13tfLXJ6puudY7gqs
  • 15nWGFaodg3efVKATgsaaSPU2TxSbiMHcP
  • 15y7dskU5TqNHXRtu5wzBpXdY5mT4RZNC6
  • 19RzEN3pqHvgRHGMjjtYCqjVTXt8bnHkK3
  • 1AuWUMtjPo7Cc1Ji2pz7DWVvVJ5EjiUaHh
  • 1BL6NZSoXtMSdquRmePDUCQxFaXtLLSVWG
  • 1BqY56No1LR64AGcog4mF54UTPnjrPAPHz
  • 1BrEshrz6gVbVuHGBgJ5GuHBvC2sdoeTAJ
  • 1CfevVPC8cSpFf7QKQwShrFgQYfyQaoXhc
  • 1CgPCp3E9399ZFodMnTSSvaf5TpGiym2N1
  • 1CUhaTe3AiP9Tdr4B6wedoe9vNsymLiD97
  • 1HjoomvzjtvZdbznoEijTNAkMjmsFba9fY
  • 1HzJkTn6Z5nDrgbR6dHVBDVtsRYqwDmGzN
  • 1KfLXEveeDEi58wvuBBxuywUA1V66F5QXK
  • 1LQ2EPBwPqdbmXwN6RodPS4xqcm8EtPcaB
  • 1MuJwQKLQKt1VCBQ9u1RtepW7sDD3AwRE6
  • 1Mz2b2onxnAYhJTJQoGHdSBy6wu2HpufVR
  • 1NX7zTP6C4oGj2y3DaJTrg26AGFWExvYnr
  • 34RqywhujsHGVPNMedvGawFufFW9wWtbXC
SEC-1275-1
Добавить комментарий