상세 컨텐츠

본문 제목

구글, Glupteba 봇넷 활동 방해해

국내외 보안동향

by 알약4 2021. 12. 8. 14:00

본문

Google disrupts the Glupteba botnet

 

구글이 Glupteba가 운영하는 인프라를 중단했다고 발표했습니다. 또한 이들은 러시아 국적을 가진 Dmitry Starovikov Alexander Filippov를 해당 봇넷을 생성 및 운영한 혐의로 고발했습니다.

 

블록체인을 지원하는 이 봇넷은 최소 2011년부터 활동해왔으며, 연구원들은 Glupteba 봇넷이 현재 전 세계적으로 100만 대 이상의 Windows PC로 구성되어 있다고 추정했습니다.

 

봇넷은 사용자의 크리덴셜 및 데이터를 훔치고, 피해자의 리소스를 악용하는 가상화폐를 채굴하고, 감염된 컴퓨터와 라우터를 통해 다른 사람의 인터넷 트래픽을 퍼뜨리는 프록시를 설정하는 데 사용되었습니다.

 

해당 봇넷의 운영자는 크랙 또는 불법 복제 소프트웨어, PPI(Pay-Per-Install) 방식을 통해 악성코드를 확산시켰습니다.

 

 

<이미지 출처 : https://securityaffairs.co/wordpress/125377/malware/glupteba-botnet-take-down.html>

 

 

 

"2020년 여름, 구글은 Glupteba 멀웨어가 수 많은 타사 소프트웨어 다운로드 사이트, 온라인 영화 스트리밍 사이트, 비디오 다운로더 사이트서 배포되고 있음을 확인했습니다.”

 

"Glupteba 악성코드는 다운로드가 가능한 무료 소프트웨어, 비디오, 영화("프리웨어")를 가장해 사용자가 링크를 클릭하면 기기를 감염시킵니다. 예를 들어, 무료 게임을 다운로드하려는 링크를 클릭하는 사용자는 자신도 모르게 Glupteba 악성코드를 다운로드 및 설치하게 됩니다.”

 

구글은 Glupteba 작업에서 피해자에게 봇을 배포하는데 사용된 구글 문서 파일 약 6,300건을 제거했다고 발표했습니다. 또한 운영자가 사용한 구글 계정 1,183, 클라우드 프로젝트 908, Google Ads 계정 870개를 제거했습니다.

 

또한 인터넷 인프라 제공업체 및 CloudFlare와 같은 호스팅 제공업체와 협력해 해당 그룹이 사용하는 서버를 중단시켰습니다.

 

연구원들은 Glupteba 봇넷 운영자가 비트코인 ​​블록체인을 활용하는 C2 백업 메커니즘을 사용하여 악성 인프라를 다시 제어하려 시도할 가능성이 있다고 밝혔습니다.

 

“구글은 오늘 윈도우 컴퓨터를 노리는 다중 컴포넌트 봇넷인 Glupteba의 운영을 방해하기 위한 조치를 취했습니다. 이 조치는 Glupteba의 운영에 상당한 영향을 미칠 것입니다. 하지만 Glupteba의 운영자는 Bitcoin 블록체인에 인코딩된 데이터를 사용하는 백업 명령 및 제어 메커니즘을 통해 봇넷을 다시금 제어하려 시도할 수 있습니다.”

 

구글은 법원 문서[PDF]를 통해 제작자로 Dmitry Starovikov Alexander Filippov를 지목했습니다.

 

구글은 이들이 봇넷을 광고하기 위해 여러 온라인 웹사이트를 운영했다고 밝혔습니다. 이 중 dont.farm 사이트는 해킹된 구글 및 페이스북 광고 계정에 대한 접근 권한을 판매하는 데 사용되었습니다.

 

구글 연구원들은 Glupteba 봇넷에 대한 IoC 또한 공유했습니다.

 

현재 알약에서는 해당 악성코드 샘플에 대해 ’Trojan.GenericKD.37807333’로 탐지 중입니다.

 

 

 

 

출처:

https://securityaffairs.co/wordpress/125377/malware/glupteba-botnet-take-down.html

https://blog.google/threat-analysis-group/disrupting-glupteba-operation/ (IOC)

 

관련글 더보기

댓글 영역