ブロックチェーン技術を活用してサイバー攻撃を仕掛ける脅威者が増えている。ブロックチェーンの分散・非中央集権的な性質を利用することで、悪意のある行為者はその匿名性を悪用して、マルウェアの伝播からランサムウェアの配布に至るまで、さまざまな攻撃を行うことができます。
Gruptebaトロイの木馬は、悪意のある活動を実行するためにブロックチェーンベースの技術を活用する脅威アクターの一例です。このブログでは、Nozomi Networks Labが、Gruptebaに関する最新の調査結果と、セキュリティチームがブロックチェーンで悪意のある活動を検索する方法を紹介します。
グルプテバとは? Gruptebaはバックドア型トロイの木馬で、Pay-Per-Installネットワーク(ソフトウェアやアプリケーションのダウンロードを促すオンライン広告キャンペーン)を介して、感染したインストーラーやソフトウェアのクラック内にダウンロードされます。一旦Gruptebaがシステム上でアクティブになると、ボットネットのオペレータは、ターゲットネットワーク上のデバイスを危険にさらすキットを悪用するために、認証情報ステイラーの追加モジュールを展開することができます。MikroTikやNetgearといったベンダーの様々なInternet of Things (IoT)アプライアンスの脆弱性を悪用することを目的としたGruptebaモジュールがいくつか存在する。
驚くべきことに、Gluptebaはビットコインのブロックチェーンを活用して、感染したシステムにコマンド・アンド・コントロール(C2)ドメインを配布する。これは珍しい手法であるという事実とは別に、有効なビットコイン・トランザクションを消去したり検閲したりする方法がないため、このメカニズムはテイクダウンに対して非常に強い。Gluptebaがブロックチェーン内にデータを隠すために使用しているのと同じアプローチを使用すると、研究者は悪意のあるトランザクションを探し出し、そのペイロードを回復することができます。当該ドメインが平文で保存されていない場合、Gruptebaのサンプルを反転させることで、セキュリティ研究者はペイロードを解読し、埋め込まれたドメインにアクセスすることができる。
ブロックチェーンによるデータ保存 ビットコインのブロックチェーンは、任意のデータを保存するために使用することができる。これは、署名スクリプト内に最大80バイトの任意のデータを保存できるOP_RETURN オペコードによって可能になる。この保存メカニズムにはいくつかの利点がある。第一に、テイクダウンに強い。これはブロックチェーンの性質である。C2ドメインを配布するためにこのメカニズムを使用することは、法執行官、ネットワーク防衛者、事件対応者がビットコインアドレスをダウンさせ、トランザクションを消去する方法がないことを意味する。ビットコインアドレスの秘密鍵がなければ、悪意のあるアドレスから発信されたデータペイロードのトランザクションを送信することはできないため、ボットネットを乗っ取ることは不可能です。さらに、脅威行為者はピアリングの目からペイロードを暗号化できるため、データ保存スキームを堅牢でコスト効率の高いものにできる。
この手法は、過去にCerberランサムウェアでも 使用されている。特定のアドレスから発信されるビットコインのトランザクションが監視され、宛先アドレスの最初の6文字と.top TLDが付加されたドメインが使用された。
Gruptebaは、C2ドメインを配布するために、宛先アドレスの代わりにOP_RETURNに依存する同様のメカニズムを使用していることが知られている。C2ドメインがダウンした場合、ボットネット運営者はドメインを配布するビットコインアドレスから新しいトランザクションを送信するだけで、マルウェアは次にC2がリフレッシュされたときに設定を調整する。Gruptebaの最新のビットコイン取引は 、2022年11月8日に行われたもので、ペイロード000c0b0006171c11064d150a0b16が埋め込まれています。
上記の16進数ペイロードはドメイン名に近いものを表しているようには見えないが、これはGluptebaが最新の亜種ではXOR暗号化スキームを使ってデータを保護しているためだ。いったんキーが分かれば、通常はc6d4ce67dd25764f571a84caa19fa6c2b067cae6のようなサンプルをリバースエンジニアリングすることで、データの復号化は簡単になる。
グルプテバの進化 Gluptebaは少なくとも2019年以降、 C2サーバーの配布にビットコイン・ブロックチェーンを使用していることが知られている。ビットコインのトランザクションを取得するために、通常blockchain.comと blockstream.infoの 複数のプロバイダが使用される。取引データを取得するためにblockchain.comへの クエリーを担当するGruptebaの関数を図1に示す。
図1 .コマンド・アンド・コントロール・ドメインとのトランザクションを含むビットコインアドレス。トランザクション内でドメインが保護される方法は、時間の経過とともに少しずつ進化してきた。2019年、GruptebaはAES-GCMを使用してビットコイントランザクション内のデータを保護し、埋め込んだ。各サンプルは、サンプルがビットコイントランザクションからペイロードを復号化することを可能にするハードコードされたキーと初期化ベクトルで出荷された。図2はGluptebaの最も古いバージョンにおける復号化ルーチンを示している。
図2 .AES-GCM復号ルーチンを呼び出すGluptebaコード。マルウェアの新しいバージョンでは、このスキームは単純なXOR暗号に変更され、現在使用されている。私たちが発見したサンプルはすべて同じキー「cheesauce」を使用していました。図3は、暗号文の復号化を担当する関数内で、この鍵がメモリ上を移動している様子を示しています。
図3 .Grupteba復号化ルーチンにXOR暗号鍵がロードされている。年表 これらの情報をもとに、私たちはブロックチェーン・ハーベスティング・ツアーに出かけ、ビットコインのブロックチェーン全体をスキャンし、隠されたC2ドメインを探しました。Gluptebaに関連することがわかっているすべてのアルゴリズムとキーを使用して、すべてのブロックの各トランザクションに存在するOP_RETURNスクリプトのデータペイロードの解読を試みました。さらに、VirusTotalから1500を超えるGluptebaのサンプルをダウンロードし、彼らが使用したウォレット・アドレスを調べて、見落としがないことを確認しました。しかし、それだけではありません。Gluptebaが使用している最新のTLS証明書セットも、サブジェクト代替名に正確なパターンを示して おり、証明書の透明性のおかげで、これを探し出すことができます。最後に、関連する可能性のあるドメインとホストを見つけるために、自由に使えるパッシブDNSレコードも精査した。
この調査から、グルプテバのオペレーターがいつ行動を起こしたかを示す、一連の膨大な出来事を以下の年表にまとめることにした。
日付 ソース 説明 2022-11-22 パッシブDNS ドメイン登録 limeprime[.]org 2022-11-21 パッシブDNS ドメイン登録 greenphoenix[.]xyz 2022-11-08 ブロックチェーン Wallet 1KfLXEveeDEi58wvuBBxuywUA1V66F5QXK update cdneurops[.]pics 2022-10-29 ブロックチェーン 財布1NX7zTP6C4oGj2y3DaJTrg26AGFWExvYnr更新mastiakele[]icu ウォレット 1CzetoTU29WbhNy1UozrQpxuFuCVxffbTd update mastiakele[]xyz 財布1KfLXEveeDEi58wvuBBxuywUA1V66F5QXK更新cdneurops[.]buzz 財布 1CfevVPC8cSpFf7QKQwShrFgQYfyQaoXhc 更新しますか? 財布 14XZhcCJDguZuZF4p13tfLXJ6puudY7gqs 更新しました zaoshanghaoz[]net ウォレット 1BrEshrz6gVbVuHGBgJ5GuHBvC2sdoeTAJ アップデート cdneurop[.]cloud ウォレット 1KfLXEveeDEi58wvuBBxuywUA1V66F5QXK アップデート cdneurop[.]cloud 財布1AuWUMtjPo7Cc1Ji2pz7DWVvVJ5EjiUaHh更新cdneurops[]health ウォレット 1BqY56No1LR64AGcog4mF54UTPnjrPAPHz アップデート mastiakele[.]cyou Wallet 1CfevVPC8cSpFf7QKwShrFgQYfyQaoXhc update mastiakele[.]cyou 財布 14XZhcCJDguZuZF4p13tfLXJ6puudY7gqs 更新しました zaoshanghaoz[]net 財布1NX7zTP6C4oGj2y3DaJTrg26AGFWExvYnr更新mastiakele[]icu Wallet 1Mz2b2onxnAYhJTJQoGHdSBy6wu2HpufVR update mastiakele[]ae[.]org ウォレット 1MuJwQKLQKt1VCBQ9u1RtepW7sDD3AwRE6 更新しました zaoshang[]ooo 財布 19RzEN3pqHvgRHGMjtYCqjVTXt8bnHkK3 更新 cdntokiog[.]studio ウォレット 1CzetoTU29WbhNy1UozrQpxuFuCVxffbTd update cdntokiog[.]studio 財布 1HSC8Yt2yjuFUSGpUfJnwLMr4HzNxV3dvP` 更新 zaoshang[.]moscow ウォレット 15nWGFaodg3efVKATgsaaSPU2TxSbiMHcP アップデート окрф[.]рф 財布1LQ2EPBwPqdbmXwN6RodPS4xqcm8EtPcaB更新zaoshang[.]ru 財布1HzJkTn6Z5nDrgbR6dHVBDVtsRYqwDmGzN更新zaoshanghao[]su 2022-10-28 証明書の透明性 証明書登録を暗号化しよう 2022-10-28 ブロックチェーン 財布1BL6NZSoXtMSdquRmePDUCQxFaXtLLSVWG更新duniadekho[]bar 2022-10-27 パッシブDNS ドメイン登録 cdneurops[.]pics mastiakele[.]icu mastiakele[.]xyz cdneurops[.]buzz cdneurops[.]shop zaoshanghaoz[.]net cdneurop[.]cloud cdneurops[.]ヘルスmastiakele[.]cyou mastiakele[.]ae[.]orgザオシャン[.]oo cdntokiog[.]スタジオザオシャン[.]モスクワокрф[.]рфザオシャン[.]ru zaoshanghao[.]suドゥニアデホ[.]バー 2022-10-26 ブロックチェーン 財布1KfLXEveeDEi58wvuBBxuywUA1V66F5QXK更新checkpos[.]net 2022-10-25 パッシブDNS ドメイン登録 checkpos[.]net 2022-10-01 パッシブDNS ドメイン登録 revouninstaller[.]homes 2022-09-30 ブロックチェーン 財布1HzJkTn6Z5nDrgbR6dHVBDVtsRYqwDmGzN更新tmetres[.]com 2022-09-28 パッシブDNS ドメイン登録 tmetres[.]com 2022-08-12 ブロックチェーン ウォレット 1BL6NZSoXtMSdquRmePDUCQxFaXtLLSVWG update 3ebu257qh2dlauxqj7cgv3i55e4orb55mwgqf4tq7eicsa3dfhr4aaid[.]onion ウォレット 1HzJkTn6Z5nDrgbR6dHVBDVtsRYqwDmGzN 更新 yeug3c6mnwocixwlotka4nwo3fjtfic65o4psmpxvrdul5q7dgjmsvad[.]onion 2022-08-12 パッシブDNS ドメイン登録 getyourgift[.]life 2022-07-04 ブロックチェーン ウォレット 1Cxy9e6KtHtBJrQwCwpKgcyp6dhncx6eNh 更新 x4l2doee6uhhf3lqjvjodgqtxsjvwbkdqyldhwyhwkhf4y23aqq7jayd[.]onion ウォレット 1HSC8Yt2yjuFUSGpUfJnwLMr4HzNxV3dvP アップデート bihgkr546ctjdn4mwr7x4bhvwz55sftx6xir6cwlfo6rhppd2eu7syd[.]onion 2022-06-09 ブロックチェーン Wallet 1CzetoTU29WbhNy1UozrQpxuFuCVxffbTd update x4l2doee6uhhf3lqjvjodgqtxsjvwbkdqyldhwyhkhf4y23aqq7jayd.onion 2022-06-07 ブロックチェーン Wallet 1CzetoTU29WbhNy1UozrQpxuFuCVxffbTd update x4l2doee6uhhf3lqjvjodgqtxsjvwbkdqyldhwyhkhf4y23aqq7jayd.onion 2022-06-06 ブロックチェーン 財布 1AuWUMtjPo7Cc1Ji2pz7DWVvVJ5EjiUaHh update c43tnmrkzfmkjyd3j4v6xbyrd67q6pskzy67dwkzj36uoqwpoju2loyd.onion Wallet 1CfevVPC8cSpFf7QKQwShrFgQYfyQaoXhc update 2pkktxkf3gnpcjh2bhi62arz2ieyjgxocb3jne3kc2nu2yvyxqq23nad.onion Wallet 1BrEshrz6gVbVuHGBgJ5GuHBvC2sdoeTAJ update yeug3c6mnwocixwlotka4nwo3fjtfic65o4psmpxvrdul5q7dgjmsvad.onion Wallet 19RzEN3pqHvgRHGMjtYCqjVTXt8bnHkK3 update dg2sz7pxs7llf2t25fsbutlvrjij4pmojugn75cmxnvoshmju6dzcad.onion 財布 1HSC8Yt2yjuFUSGpUfJnwLMr4HzNxV3dvP update c43tnmrkzfmkjyd3j4v6xbyrd67q6pskzy67dwkzj36uoqwpoju2loyd.onion 財布 1BqY56No1LR64AGcog4mF54UTPnjrPAPHz update 2pkktxkf3gnpcjh2bhi62arz2ieyjgxocb3jne3kc2nu2yvyxqq23nad.onion Wallet 1LQ2EPBwPqdbmXwN6RodPS4xqcm8EtPcaB update dg2sz7pxs7llf2t25fsbutlvrjij4pmojugn75cmxnvoshmju6dzcad.onion Wallet 15nWGFaodg3efVKATgsaaSPU2TxSbiMHcP update papmcl4r32awafck75y5446n252qqq4h6c4y2slaayposrtfbcebdqd.onion 財布 14XZhcCJDguZuZF4p13tfLXJ6puudY7gqs update c43tnmrkzfmkjyd3j4v6xbyrd67q6pskzy67dwkzj36uoqwpoju2loyd.onion 2022-06-03 ブロックチェーン Wallet 1Mz2b2onxnAYhJTJQoGHdSBy6wu2HpufVR update 2pkktxkf3gnpcjh2bhi62arz2ieyjgxocb3jne3kc2nu2yvyxqq23nad.onion ウォレットの更新 1MuJwQKLQKt1VCBQ9u1RtepW7sDD3AwRE6 dg2sz7pxs7llf2t25fsbutlvrjij4pmojugn75cmxnvoshmju6dzcad.onion ウォレットの更新 14XZhcCJDguZuZF4p13tfLXJ6puudY7gqs papmcl4r32awafck75y5446n252qqq4h6c4y2slaayposrtfbcebdqd.onion ウォレットの更新 1HzJkTn6Z5nDrgbR6dHVBDVtsRYqwDmGzN yeug3c6mnwocixwlotka4nwo3fjtfic65o4psmpxvrdul5q7dgjmsvad.onio Wallet 1Cxy9e6KtHtBJrQwCwpKgcyp6dhncx6eNh update yeug3c6mnwocixwlotka4nwo3fjtfic65o4psmpxvrdul5q7dgjmsvad.onio 2022-06-01 ブロックチェーン Wallet 1KfLXEveeDEi58wvuBBxuywUA1V66F5QXK update dg2sz7pxs7llf2t25fsbutlvrjij4pmojugn75cmxnvoshmju6dzcad.onion Wallet 1CzetoTU29WbhNy1UozrQpxuFuCVxffbTd update maesvpovrwqfaqjw44bbeb2w62h6n7eyosbeit7rfrdbyjymqaxfryd.onion 2021-12-29 ブロックチェーン 財布1CUhaTe3AiP9Tdr4B6wedoe9vNsymLiD97更新dafflash[.]com 2021-12-27 ブロックチェーン ドメイン登録 dafflash[.]com 2021-12-25 ブロックチェーン 財布 1CUhaTe3AiP9Tdr4B6wedoe9vNsymLiD97 更新します filimaik[.]com 2021-12-13 ブロックチェーン Wallet 12EfzLra6LttQ8RWvBTDzJUjYE6eRxx4TY update 7owe32rodnp3vnx2ekqncoegxolkmb3m2fex5zu6i2bg7ktivhwvczqd.onion 2021-12-12 ブロックチェーン 財布 12EfzLra6LttQ8RWvBTDzJUjYE6eRxx4TY update r5vg4h5rlwmo6oa3p3vlckuvf5na2wb2tnqbsbkivhrhlyze6czlpjad.onion 2021-12-10 パッシブDNS ドメイン登録 godespra[.]com filimaik[.]com 2021-12-09 ブロックチェーン 財布 1CUhaTe3AiP9Tdr4B6wedoe9vNsymLiD97 update mydomelem.com 2021-12-08 ブロックチェーン 財布 1HjoomvzjtvZdbznoEijTNAkMjmsFba9fY update nameiusr.com 2021-12-07 ブロックチェーン 財布 1CUhaTe3AiP9Tdr4B6wedoe9vNsymLiD97 update younghil.com 2021-12-06 パッシブDNS ドメイン登録 mydomelem.com nameiusr.com younghil.com 2021-11-09 ブロックチェーン ウォレット 1GLjCyG3fDf7vT3SxwtEUx7Z2w2UQrR3FU update newcc[.] 2021-10-19 ブロックチェーン 財布1CgPCp3E9399ZFodMnTSSvaf5TpGiym2N1更新nisdably[.]com 2021-10-13 ブロックチェーン ウォレット1CUhaTe3AiP9Tdr4B6wedoe9vNsymLiD97更新tyturu[.]com 2021-10-11 パッシブDNS ドメイン登録 tyturu[.]com 2021-03-28 パッシブDNS ドメイン登録 nisdably[.]com 2020-05-13 ブロックチェーン ウォレット 15y7dskU5TqNHXRtu5wzBpXdY5mT4RZNC6 update maxbook[.]space 2020-05-07 ブロックチェーン 財布 1CgPCp3E9399ZFodMnTSSvaf5TpGiym2N1 更新しました easywbdesign[.]com 2020-04-08 ブロックチェーン ウォレット 1CgPCp3E9399ZFodMnTSSvaf5TpGiym2N1 アップデート sndvoices[.]com 2020-04-02 パッシブDNS ドメイン登録 easywbdesign[.]com sndvoices[.]com 2020-03-28 ブロックチェーン 財布 15y7dskU5TqNHXRtu5wzBpXdY5mT4RZNC6 更新しました myinfoart[]xyz 財布 15y7dskU5TqNHXRtu5wzBpXdY5mT4RZNC6 更新しました gfixprice[]xyz 財布 15y7dskU5TqNHXRtu5wzBpXdY5mT4RZNC6 update getfixed[.]xyz 2020-03-15 パッシブDNS ドメイン登録 maxbook[.]space 2020-02-17 ブロックチェーン 財布 15y7dskU5TqNHXRtu5wzBpXdY5mT4RZNC6 update anotheronedom[]com 2020-02-17 パッシブDNS ドメイン登録 anotheronedom[.]com 2020-02-14 ブロックチェーン 財布 15y7dskU5TqNHXRtu5wzBpXdY5mT4RZNC6 update sleepingcontrol[.] 2020-01-24 ブロックチェーン 財布 15y7dskU5TqNHXRtu5wzBpXdY5mT4RZNC6 更新する robotatten[]com 2020-01-23 ブロックチェーン ウォレット 34RqywhujsHGVPNMedvGawFufFW9wWtbXC update robotatten[.] 2020-01-23 パッシブDNS ドメイン登録 sleepingcontrol[.]com robotatten[.]com 2019-06-19 ブロックチェーン 財布 15y7dskU5TqNHXRtu5wzBpXdY5mT4RZNC6 更新しました venoxcontrol[.]com 2019-06-14 パッシブDNS ドメイン登録 venoxcontrol[.]com
グルプテバの4つのキャンペーン 我々は、4年以上にわたって15個のGluptebaビットコインアドレスを特定することができた。
キャンペーン1 最も古い波は2019年6月に始まったようだ。当時、悪意のあるドメインを配布するために使用されたビットコインアドレスは1つだけだった。これは、グーグルがGluptebaの運営者2人に対する訴訟で判明したことも裏付けている。
住所 初見 最後に見たもの トランザクション サンプル数 15y7dskU5TqNHXRtu5wzBpXdY5mT4RZNC6 2019-06-17 15:51 2020-05-13 13:02 16 54
図4はアドレス取引のグラフである。3Jt2UのようなOP_RETURN取引で、資金が15y7dアドレスにバウンスバックしているのがわかる。興味深いことに、15y7dアドレスに残っていた36.18ドルはすべて、2020年2月に3Jwj7アドレスに送られた。それ以来、そのアドレスでの活動は確認されていない。
図4 .このグラフは、2019年のキャンペーンに関与した住所との間の取引を示している。キャンペーン2 第2波は2020年4月に始まったようで、今回は悪意のあるC2ドメインを配布するために2つのビットコインアドレスが使用された。興味深いことに、2つ目のアドレスを使用したサンプルは見つからなかった。これは、Glupteba亜種が期待通りに動作していることを確認するためのテスト用アドレスである可能性がある。さらに、テスト用と思われるアドレスdeepsound[.]liveを介して 配布されたドメインは、両方のアドレスで見つけることができた他のトランザクションでは確認されていません。また、単にいくつかのサンプルを見逃しているだけかもしれない。
住所 初見 最後に見たもの トランザクション サンプル数 1CgPCp3E9399ZFodMnTSSvaf5TpGiym2N1 2020-04-08 18:28 2021-10-19 17:28 11 87 1bRfcRZVws98j3QQEZxrgRVd15vVF6zSU 2020-04-08 14:21 2020-04-08 15:49 2 0
同じパターンがメインアドレス1CgPCで観察され、一定期間の活動の後、28.45ドルの残りの資金が2021年11月にどこかのベンダーまたはマーチャントに送金された。テスト用のビットコインアドレスでは、資金は送金されず、今日まで76.80ドルの残高が口座に残っている。図5は、両アドレスとの間のトランザクションを示している。
図5 .このグラフは、2020年のグルプテバ・キャンペーンに関与したアドレスとの間の取引を示している。キャンペーン3 第3のキャンペーンは2021年11月に開始。悪意のあるドメインの配信に使用されたビットコインアドレスの数は、2020年の2個から2021年には4個へと倍増した。このキャンペーンは最も短く、寿命はわずか約2カ月だった。これは、約1年前にGoogleがGluptebaの2つの運営者を提訴 し、ボットネットの運営を妨害する ためにいくつかの措置が取られた際に、Googleがボットネットを停止させようと努力したためであると考えられます。また、Gluptebaによるコマンド・アンド・コントロール・サーバーとしてTORの隠しサービスが使用されたのは今回が初めてである。
住所 初見 最後に見たもの トランザクション サンプル数 1CUhaTe3AiP9Tdr4B6wedoe9vNsymLiD97 2021-10-13 15:20 2021-12-29 10:15 12 77 12EfzLra6LttQ8RWvBTDzJUjYE6eRxx4TY 2021-12-12 21:38 2021-12-13 21:14 3 3 1HjoomvzjtvZdbznoEijTNAkMjmsFba9fY 2021-12-08 15:57 2021-12-08 17:12 2 17 1GLjCyG3fDf7vT3SxwtEUx7Z2w2UQrR3FU 2021-11-09 12:22 2021-11-09 12:49 2 0
Gruptebaのオペレーターは4つのウォレットを使用しており、図6に示すように最もアクティブなウォレットは1CUhaであった。ここでもビットコインアドレスには残金がなかった。これはまた、このキャンペーンで最も古いアドレスであり、トランザクション数が最も多いアドレスでもある。興味深いことに、2020年と同様にマルウェアのテストに使用されたと考えられるアドレス1GLjCを参照するサンプルを1件も見つけることができなかった。また、newcc[.] comというドメインも当時登録されておらず、テスト環境で使用されていた可能性があります。
図6 .このグラフは、2021年のグルプテバ・キャンペーンに関与したアドレスとの取引を示している。キャンペーン4 最新の進行中のキャンペーンは、グーグル訴訟から6ヶ月後の2022年6月に始まり、今回、悪意のあるビットコインアドレスの数が大幅に増加した。これはいくつかの要因によるものと考えられる。第一に、より多くのビットコインアドレスが存在することは、セキュリティ研究者の仕事をより複雑にする。第二に、グーグル訴訟がグルプテバの運営に大きな影響を与えなかったことを示すためである。このキャンペーンでは、集めたアドレスのうち3つについてはサンプルを見つけることができなかった。これらのアドレスは、私たちがサンプルを見つけた他のビットコインアドレスで見つかったいくつかのドメインを配布しているため、テスト用に作られたものではないと考えている。さらに、2021年のキャンペーン以降、C2サーバーとして使用されるTOR隠しサービスが10倍に増加していた。
住所 初見 最後に見たもの トランザクション サンプル数 1KfLXEveeDEi58wvuBBxuywUA1V66F5QXK 2022-06-01 14:16 2022-11-08 11:54 11 1197 1LQ2EPBwPqdbmXwN6RodPS4xqcm8EtPcaB 2022-06-03 13:59 2022-10-29 11:29 4 6 1MuJwQKLQKt1VCBQ9u1RtepW7sDD3AwRE6 2022-06-03 15:02 2022-10-29 11:37 4 6 1Mz2b2onxnAYhJTJQoGHdSBy6wu2HpufVR 2022-06-03 14:33 2022-10-29 11:40 5 3 1NX7zTP6C4oGj2y3DaJTrg26AGFWExvYnr 2022-06-06 14:10 2022-10-29 12:07 6 6 14XZhcCJDguZuZF4p13tfLXJ6puudY7gqs 2022-06-03 14:56 2022-10-29 12:03 8 12 15nWGFaodg3efVKATgsaaSPU2TxSbiMHcP 2022-06-03 14:34 2022-10-29 11:30 6 48 19RzEN3pqHvgRHGMjtYCqjVTXt8bnHkK3 2022-06-06 13:51 2022-10-29 11:37 4 6 1AuWUMtjPo7Cc1Ji2pz7DWVvVJ5EjiUaHh 2022-06-06 14:04 2022-10-29 11:43 4 3 1BL6NZSoXtMSdquRmePDUCQxFaXtLLSVWG 2022-06-07 08:51 2022-10-28 10:51 4 3 1BqY56No1LR64AGcog4mF54UTPnjrPAPHz 2022-06-04 07:59 2022-10-29 11:41 4 3 1BrEshrz6gVbVuHGBgJ5GuHBvC2sdoeTAJ 2022-06-04 02:35 2022-10-29 11:42 4 3 1CfevVPC8cSpFf7QKQwShrFgQYfyQaoXhc 2022-06-06 14:05 2022-10-29 12:10 6 3 1HzJkTn6Z5nDrgbR6dHVBDVtsRYqwDmGzN 2022-06-03 13:55 2022-10-29 11:28 8 3 1HSC8Yt2yjuFUSGpUfJnwLMr4HzNxV3dvP 2022-06-06 13:58 2022-10-29 11:33 6 0 1Cxy9e6KtHtBJrQwCwpKgcyp6dhncx6eNh 2022-06-03 14:05 2022-07-04 16:07 4 0 1CzetoTU29WbhNy1UozrQpxuFuCVxffbTd 2022-05-31 15:19 2022-10-29 12:04 8 0
2022年のキャンペーンで使用されたアドレスを含む図7に示す取引グラフは、2019年以降のオペレーションの大規模化を示している。最後に、これらの取引をさらにさかのぼったところ、2019年以降、少なくとも5つの異なる加盟店や取引所がGluptebaアドレスの資金調達に使用されたと考えられる。
図7 .このグラフは、2022年のキャンペーンに関与したアドレスとの取引を示している。結論 このブログでは、ブロックチェーントランザクション、TLS証明書登録、およびリバースエンジニアリングサンプルを追跡することにより、Gluptebaをどのように狩ることができるかを示しました。また、ブロックチェーンがどのように任意のデータを保存するために使用されるのか、そして脅威アクターがどのようにこれを利用するのかについても見てきました。さらに、長年にわたるGluptebaのキャンペーンにも光を当ててみました。回復力という点では、GoogleがGruptebaボットネットを破壊するために取った行動が、突然終了したと思われる2021年のキャンペーンにどのような影響を与えたかを見てきました。最近グーグルが有利な判決を勝ち取ったとしても 、私たちはそれがGruptebaの運営に深刻な打撃を与えることを望んでいたが、ほぼ1年経った今、そうならなかった可能性が高いと言える。実際、グルプテバは新たなキャンペーンをゼロから構築し、野放図に、しかも今度ははるかに大規模に配布するのに約半年を要した。
防御側と対応側には、blockchain.infoのようなブロックチェーン関連ドメインだけでなく、Glupteba既知のC2ドメインも環境内でブロックすることを強くお勧めします。また、DNSログを監視し、Glupteba感染の可能性を防ぐためにウイルス対策ソフトウェアを最新の状態に保つことをお勧めします。
にゅうしゅつりょくせいぎょそうち 説明 cdneurops[.]pics C2ドメイン 2022 mastiakele[.]icu C2ドメイン 2022 mastiakele[.]xyz C2ドメイン 2022 cdneurops[.]buzz C2ドメイン 2022 cdneurops[.]shop C2ドメイン 2022 zaoshanghaoz[.]net C2ドメイン 2022 cdneurop[.]cloud C2ドメイン 2022 cdneurops[.]health C2ドメイン 2022 mastiakele[.]cyouさん C2ドメイン 2022 zaoshanghaoz[.]net C2ドメイン 2022 mastiakele[.]ae[.]org C2ドメイン 2022 zaoshang[.]ooo C2ドメイン 2022 cdntokiog[.]studio C2ドメイン 2022 zaoshang[.]moscow C2ドメイン 2022 zaoshang[.]ru C2ドメイン 2022 zaoshanghao[.]su C2ドメイン 2022 duniadekho[.]bar C2ドメイン 2022 チェックポス C2ドメイン 2022 dafflash[.]com C2ドメイン 2021 ゴデスプラ[.] C2ドメイン 2021 filimaik[.]com C2ドメイン 2021 マイドームレム[.] C2ドメイン 2021 nameiusr[.]com C2ドメイン 2021 younghil[.]com C2ドメイン 2021 newcc[.]com C2ドメイン2021(潜在的テストドメイン) nisdably[.]com C2ドメイン 2021 tyturu[.]com C2ドメイン 2021 maxbook[.]space C2ドメイン 2020 easywbdesign[.]com C2ドメイン 2020 sndvoices[.]com C2ドメイン 2020 myinfoart[.]xyz C2ドメイン 2020 gfixprice[.]xyz C2ドメイン 2020 getfixed[.]xyz C2ドメイン 2020 anotheronedom[.]com C2ドメイン 2020 スリーピングコントロール C2ドメイン 2020 ロボタッテン C2ドメイン 2020 ディープサウンド[.]ライブ C2ドメイン2020(潜在的テストドメイン) venoxcontrol[.]com C2ドメイン 2019 3ebu257qh2dlauxqj7cgv3i55e4orb55mwgqf4tq7eicsa3dfhr4aaid[]onion C2ドメイン 2022 yeug3c6mnwocixwlotka4nwo3fjtfic65o4psmpxvrdul5q7dgjmsvad[]onion C2ドメイン 2022 x4l2doee6uhhf3lqjvjodgqtxsjvwbkdqyldhwyhwkhf4y23aqq7jayd[]onion C2ドメイン 2022 bihgkr546ctjdn4mwr7x4bhvwz55sftx6xir6cwlfo6rhppd2eu7syd[]onion C2ドメイン 2022 2pkktxkf3gnpcjh2bhi62arz2ieyjgxocb3jne3kc2nu2yvyxqq23nad[.]onion C2ドメイン 2022 c43tnmrkzfmkjyd3j4v6xbyrd67q6pskzy67dwkzj36uoqwpoju2loyd[]onion C2ドメイン 2022 2pkktxkf3gnpcjh2bhi62arz2ieyjgxocb3jne3kc2nu2yvyxqq23nad[.]onion C2ドメイン 2022 yeug3c6mnwocixwlotka4nwo3fjtfic65o4psmpxvrdul5q7dgjmsvad[]onion C2ドメイン 2022 dg2sz7pxs7llf2t25fsbutlvrjij4pmojugn75cmxnvoshmju6dzcad[.]onion C2ドメイン 2022 c43tnmrkzfmkjyd3j4v6xbyrd67q6pskzy67dwkzj36uoqwpoju2loyd[]onion C2ドメイン 2022 2pkktxkf3gnpcjh2bhi62arz2ieyjgxocb3jne3kc2nu2yvyxqq23nad[.]onion C2ドメイン 2022 papmcl4r32awafck75y5446n252qqq4h6c4y2slaayposrtfbcebdqd[]onion C2ドメイン 2022 maesvpovrwqfaqjw44bbeb2w62h6n7eyosbeit7rfrrdbyjymqaxfryd[]onion C2ドメイン 2022 yeug3c6mnwocixwlotka4nwo3fjtfic65o4psmpxvrdul5q7dgjmsvad[]onio タイプミスのあるC2ドメイン2022 7owe32rodnp3vnx2ekqncoegxolkmb3m2fex5zu6i2bg7ktivhwvczqd[.]onion C2ドメイン 2021 r5vg4h5rlwmo6oa3p3vlckuvf5na2wb2tnqbsbkivhrhlyze6czlpjad[]onion C2ドメイン 2021 ライムプライム[.]com 関連ドメイン グリーンフェニックス[.]xyz 関連ドメイン revouninstaller[.]homes 関連ドメイン getyourgift[.]life 関連ドメイン 12EfzLra6LttQ8RWvBTDzJUjYE6eRxx4TY 財布の住所 14XZhcCJDguZuZF4p13tfLXJ6puudY7gqs 財布の住所 15nWGFaodg3efVKATgsaaSPU2TxSbiMHcP 財布の住所 19RzEN3pqHvgRHGMjtYCqjVTXt8bnHkK3 財布の住所 1AuWUMtjPo7Cc1Ji2pz7DWVvVJ5EjiUaHh 財布の住所 1BL6NZSoXtMSdquRmePDUCQxFaXtLLSVWG 財布の住所 1BqY56No1LR64AGcog4mF54UTPnjrPAPHz 財布の住所 1BrEshrz6gVbVuHGBgJ5GuHBvC2sdoeTAJ 財布の住所 1CfevVPC8cSpFf7QKQwShrFgQYfyQaoXhc 財布の住所 1HzJkTn6Z5nDrgbR6dHVBDVtsRYqwDmGzN 財布の住所 1KfLXEveeDEi58wvuBBxuywUA1V66F5QXK 財布の住所 1LQ2EPBwPqdbmXwN6RodPS4xqcm8EtPcaB 財布の住所 1MuJwQKLQKt1VCBQ9u1RtepW7sDD3AwRE6 財布の住所 1Mz2b2onxnAYhJTJQoGHdSBy6wu2HpufVR 財布の住所 1NX7zTP6C4oGj2y3DaJTrg26AGFWExvYnr 財布の住所 1CgPCp3E9399ZFodMnTSSvaf5TpGiym2N1 財布の住所 1CUhaTe3AiP9Tdr4B6wedoe9vNsymLiD97 財布の住所 1HjoomvzjtvZdbznoEijTNAkMjmsFba9fY 財布の住所 34RqywhujsHGVPNMedvGawFufFW9wWtbXC 財布の住所 15y7dskU5TqNHXRtu5wzBpXdY5mT4RZNC6 財布の住所
