CrowdStrike ve Google, Blockchain Tabanlı Glassworm Botnet'ini Çökertti Linux

CrowdStrike ve Google, Blockchain Tabanlı Glassworm Botnet'ini Çökertti

CrowdStrike, Google ve Shadowserver Foundation, Solana blockchain ve Google Calendar kullanan Glassworm botnet'ini eş zamanlı saldırıyla çökertti.

Siber güvenlik devi CrowdStrike, Google ve Shadowserver Vakfı'nın ortak çalışması sonucu, Glassworm adlı karmaşık bir botnet ağı çökertildi. Üç kuruluş, botnet'in dört komuta ve kontrol (C2) kanalını eş zamanlı olarak devre dışı bırakarak, saldırganların enfekte cihazlarla bağlantısını kesti ve yeni kötü amaçlı yazılım yükleme kabiliyetlerini ortadan kaldırdı.

Glassworm botnet'i, geleneksel ticari VPS'lerde barındırılan C2 sunucularının yanı sıra daha az yaygın ve gizli varlıklar kullanıyordu. Bunlar arasında, Base64 kodlu C2 yolları için ölü posta kutuları olarak kullanılan Google Calendar etkinlik başlıkları, eşler arası ağlar ve blockchain altyapısı yer alıyordu. Özellikle, Solana blockchain'deki işlemlerin memo alanlarına kodlanmış C2 sunucu adresleri bulunuyordu.

CrowdStrike'ın 26 Mayıs'ta yayımladığı rapora göre, Glassworm uzaktan erişim aracı, BitTorrent eşler arası ağına sabitlenmiş genel anahtarlara karşı yapılandırma verilerini sorguluyordu. Araştırmacılar, blockchain, eşler arası ağlar ve meşru web hizmetlerinin birleşiminin, botnet'i çökertmelere karşı dayanıklı kılmak için tasarlandığını belirtti. Bu nedenle tüm kanalların aynı anda devre dışı bırakılması gerekiyordu.

Teknik Analiz

CrowdStrike, yalnızca bir kanalın kapatılması durumunda diğer kanalların faaliyette kalacağını ve saldırganların hızla yeniden yapılanabileceğini vurguladı. Bu başarılı operasyon, siber güvenlik alanında iş birliğinin ve yenilikçi tehdit avlama tekniklerinin önemini bir kez daha ortaya koydu.

Paylaş: