Угрожающие субъекты все чаще используют технологию блокчейн для проведения кибератак. Используя преимущества распределенной и децентрализованной природы блокчейна, злоумышленники могут использовать его анонимность для различных атак, начиная от распространения вредоносного ПО и заканчивая распространением программ-выкупов. Троян Glupteba является примером того, как злоумышленники используют технологии на основе блокчейна для осуществления своей вредоносной деятельности.
Glupteba
Glupteba - это троян с бэкдором, который загружается через сети Pay-Per-Install - рекламные кампании в Интернете, предлагающие загрузить программное обеспечение или приложения - в зараженных установщиках или программных крэках. Как только Glupteba становится активным в системе, операторы ботнета могут развернуть дополнительные модули от похитителя учетных данных для использования наборов, компрометирующих устройства в целевой сети. Существует несколько модулей Glupteba, направленных на эксплуатацию уязвимостей в различных устройствах Интернета вещей (IoT) от таких производителей, как MikroTik и Netgear.
Glupteba использует блокчейн Bitcoin для распространения своих доменов командования и управления (C2) на зараженные системы. Помимо того, что это необычная техника, этот механизм также чрезвычайно устойчив к взлому, поскольку нет способа стереть или подвергнуть цензуре подтвержденную транзакцию Bitcoin. Используя тот же подход, который Glupteba применяет для сокрытия данных в блокчейне, исследователи могут искать вредоносные транзакции и восстанавливать их полезную нагрузку. Если указанные домены не хранятся в открытом тексте, реверсирование образцов Glupteba позволяет исследователям безопасности расшифровать полезную нагрузку и получить доступ к встроенным доменам.
Блокчейн Биткойна можно использовать для хранения произвольных данных. Это возможно благодаря опкоду OP_RETURN, который позволяет хранить до 80 байт произвольных данных внутри скрипта подписи. Такой механизм хранения имеет несколько преимуществ. Во-первых, он устойчив к взлому. После подтверждения транзакции ее невозможно стереть - такова природа блокчейна. Использование этого механизма для распространения домена C2 означает, что у сотрудников правоохранительных органов, защитников сети и служб реагирования на инциденты нет возможности перехватить адрес Биткойна и стереть транзакцию. То, как блокчейн Bitcoin построен на основе современной криптографии, также делает этот механизм безопасным; без закрытого ключа адреса Bitcoin невозможно отправить транзакцию с такой полезной нагрузкой данных, исходящей от вредоносного адреса, следовательно, захват ботнета невозможен. Кроме того, субъекты угроз могут зашифровать свою полезную нагрузку от посторонних глаз, что делает схему хранения данных надежной и экономически эффективной.
Эта техника также использовалась в прошлом программой Cerber ransomware. Транзакции Bitcoin, исходящие с определенных адресов, отслеживались, и первые 6 символов адреса назначения использовались вместе с добавлением ДВУ .top для> создания домена, который использовался для запроса активной инфраструктуры C2.
Известно, что Glupteba использует аналогичный механизм, используя OP_RETURN вместо адресов назначения для распространения своих C2-доменов. В случае, если домен C2 будет удален, операторам ботнета достаточно отправить новую транзакцию с адреса Bitcoin, распределяющего домены, и вуаля, вредоносная программа скорректирует свою конфигурацию при следующем обновлении C2. Последняя выявленная биткоин-транзакция Glupteba датируется 8 ноября 2022 года с встроенной полезной нагрузкой 000c0b0006171c11064d150a0b16.
Известно, что Glupteba использует блокчейн Bitcoin для распространения своих серверов C2, по крайней мере, с 2019 года. Для получения транзакций Bitcoin используется несколько провайдеров, обычно blockchain.com и blockstream.info. Функция Glupteba, отвечающая за запрос к blockchain.com для получения данных о транзакциях.
Способ защиты доменов в рамках транзакций немного изменился с течением времени. В 2019 году Glupteba использовала AES-GCM для защиты и встраивания данных в транзакции биткоина. Каждый образец поставлялся с жестко закодированным ключом и вектором инициализации, позволяющим образцу расшифровать полезную нагрузку из транзакции биткоина.
В более новых версиях вредоносной программы эта схема была заменена на простой шифр XOR, который используется в настоящее время.
Indicators of Compromise
Domains
- anotheronedom.com
- cdneurop.cloud
- cdneurops.buzz
- cdneurops.health
- cdneurops.pics
- cdneurops.shop
- cdntokiog.studio
- checkpos.net
- dafflash.com
- deepsound.live
- duniadekho.bar
- easywbdesign.com
- filimaik.com
- getfixed.xyz
- getyourgift.life
- gfixprice.xyz
- godespra.com
- greenphoenix.xyz
- limeprime.com
- mastiakele.ae.org
- mastiakele.cyou
- mastiakele.icu
- mastiakele.xyz
- maxbook.space
- mydomelem.com
- myinfoart.xyz
- nameiusr.com
- newcc.com
- nisdably.com
- revouninstaller.homes
- robotatten.com
- sleepingcontrol.com
- sndvoices.com
- tyturu.com
- venoxcontrol.com
- younghil.com
- zaoshang.moscow
- zaoshang.ooo
- zaoshang.ru
- zaoshanghao.su
- zaoshanghaoz.net
Onion Domains
- 2pkktxkf3gnpcjh2bhi62arz2ieyjgxocb3jne3kc2nu2yvyxqq23nad.onion
- 3ebu257qh2dlauxqj7cgv3i55e4orb55mwgqf4tq7eicsa3dfhr4aaid.onion
- 7owe32rodnp3vnx2ekqncoegxolkmb3m2fex5zu6i2bg7ktivhwvczqd.onion
- bihgkrr546ctjdn4mwr7x4bhvwz55sftx6xir6cwlfo6rhppd2eu7syd.onion
- c43tnmrkzfmkjyd3j4v6xbyrd67q6pskzy67dwkzj36uoqwpoju2loyd.onion
- dg2sz7pxs7llf2t25fsbutlvvrjij4pmojugn75cmxnvoshmju6dzcad.onion
- maesvpovrwqfaqjw44bbeb2w62h6n7eyosbeit7rfrrdbyjymqaxfryd.onion
- papmcl4r32awafck75y5446n252qqqq4h6c4y2slaayposrtfbcebdqd.onion
- r5vg4h5rlwmo6oa3p3vlckuvf5na2wb2tnqbsbkivhrhlyze6czlpjad.onion
- x4l2doee6uhhf3lqjvjodgqtxsjvwbkdqyldhwyhwkhf4y23aqq7jayd.onion
- yeug3c6mnwocixwlotka4nwo3fjtfic65o4psmpxvrdul5q7dgjmsvad.onio
- yeug3c6mnwocixwlotka4nwo3fjtfic65o4psmpxvrdul5q7dgjmsvad.onion
Wallet Address
- 12EfzLra6LttQ8RWvBTDzJUjYE6eRxx4TY
- 14XZhcCJDguZuZF4p13tfLXJ6puudY7gqs
- 15nWGFaodg3efVKATgsaaSPU2TxSbiMHcP
- 15y7dskU5TqNHXRtu5wzBpXdY5mT4RZNC6
- 19RzEN3pqHvgRHGMjjtYCqjVTXt8bnHkK3
- 1AuWUMtjPo7Cc1Ji2pz7DWVvVJ5EjiUaHh
- 1BL6NZSoXtMSdquRmePDUCQxFaXtLLSVWG
- 1BqY56No1LR64AGcog4mF54UTPnjrPAPHz
- 1BrEshrz6gVbVuHGBgJ5GuHBvC2sdoeTAJ
- 1CfevVPC8cSpFf7QKQwShrFgQYfyQaoXhc
- 1CgPCp3E9399ZFodMnTSSvaf5TpGiym2N1
- 1CUhaTe3AiP9Tdr4B6wedoe9vNsymLiD97
- 1HjoomvzjtvZdbznoEijTNAkMjmsFba9fY
- 1HzJkTn6Z5nDrgbR6dHVBDVtsRYqwDmGzN
- 1KfLXEveeDEi58wvuBBxuywUA1V66F5QXK
- 1LQ2EPBwPqdbmXwN6RodPS4xqcm8EtPcaB
- 1MuJwQKLQKt1VCBQ9u1RtepW7sDD3AwRE6
- 1Mz2b2onxnAYhJTJQoGHdSBy6wu2HpufVR
- 1NX7zTP6C4oGj2y3DaJTrg26AGFWExvYnr
- 34RqywhujsHGVPNMedvGawFufFW9wWtbXC