» data-html=»true» data-original-title=»Glupteba»>Glupteba, которая началась в июне 2022 года и продолжается до сих пор.

В декабре 2021 года Google удалось нанести значительный ущерб деятельности ботнета, а также подать иск против двух граждан России , которые курировали Glupteba. В прошлом месяце суд США вынес решение в пользу технологического гиганта.

Glupteba продолжает использовать блокчейн прежним способом, поэтому аналитики просканировали весь блокчейн, чтобы обнаружить скрытые домены C&C-серверов.

Эксперты изучили 1500 образцов Glupteba, загруженных на VirusTotal, для извлечения адресов кошельков и расшифровки данных полезной нагрузки транзакций с использованием ключей, связанных с вредоносным ПО.

Расследование Nozomi выявило 15 биткойн-адресов, используемых в 4-ех кампаниях Glupteba, последняя из которых началась в июне 2022 года и продолжается до сих пор. В этой кампании используется больше биткойн-адресов, чем в предыдущих операциях, что придает ботнету еще большую устойчивость. Самый продуктивный биткойн-адрес адрес провел 11 транзакций и передавался 1197 образцам, а его последняя активность была зарегистрирована 8 ноября 2022 года.

Диаграммы транзакций в блокчейне. Слева направо: кампании 2022 года (наиболее сложные), 2021, 2020 и 2019 г.

Кроме того, количество скрытых TOR-сервисов, используемых в качестве C&C-серверов, выросло в 10 раз по сравнению с кампанией 2021 года благодаря аналогичному подходу к резервированию. Nozomi также сообщает, что операторы ботнета 22 ноября зарегистрировали множество новых доменов Glupteba.

Ботнет Glupteba вернулся и стал более разрушительным, а также более устойчивым, создав большое количество резервных адресов, чтобы противостоять захвату инфраструктуры со стороны исследователей и правоохранительных органов.