Glupteba

Gluptebaはトロイの木馬です。
ブロックチェーンの技法を使用して悪事を展開します。
どんな動きをするのでしょう。

• ボットネット
  Gluptebaは一般のインターネットユーザに感染し、そのユーザの環境をボットネットに加えます。
  加えられた環境はボットネットの一部としてサイバー犯罪者に販売されてしまいます。
• 単独での被害
  Gluptebaに感染するとそのパソコンはボットネットの一部となりますが、そのまえにGluptebaそのものの機能によって犯罪者に利用されてしまいます。
  Gluptebaは感染すると暗号通貨をマイニングし、ユーザーの資格情報とCookieを盗みます。
  Gluptebaはモジュール式の構造になっていて、WindowsシステムとIoTデバイスにプロキシを展開するモジュールも持っています。
• ブロックチェーンの悪用
  GluptebaはBitcoinブロックチェーンを使用します。
  ブロックチェーンの技法によってマルウェアの活動に必要な情報を配布します。
  配布される情報はC2アドレスです。
  別のマルウェアの話ですが、emotetの単独での展開は、C2のアドレスを法執行機関が乗っ取ることで大きく阻害されました。
  しかしGluptebaには同じ手法を使うことは簡単ではなさそうです。
  通常ブロックチェーンは暗号資産のトランザクションを誤って変更しないようにすることができる効能を提供します。
  このブロックチェーンの技法を使用してC2アドレスを配布しているため、変更することが事実上できないのです。
  またブロックチェーンの技法は使用しているC2アドレスの一つが停止される状況になったとしても新たなC2を追加しその情報を配布することも可能にしています。

Gluptebaは2021年12月のgoogleの活動によって一度は活動が停止したと考えられていました。
しかし現在またその活動が大規模に展開されていることが明らかになっています。

Gluptebaの配布は、フリーソフトウェアや映画を装ったインストーラーの形式で実施されます。
環境を最新に保ち、アンチウイルス機構も最新の状態で運用し、怪しいソフトウェアに手を出さないということが重要に思えます。

参考記事（外部リンク）：Tracking Malicious Glupteba Activity Through the
Blockchain
www.nozominetworks.com/blog/tracking-malicious-glupteba-activity-through-the-blockchain/