🔥 Fique por dentro das novidades mais quentes do momento! 🔥
Não deixe essa passar: clique e saiba tudo!
Apoie esse projeto de divulgacao de noticias! Clique aqui
A botnet Glassworm, que tem como alvo desenvolvedores em ataques à cadeia de suprimentos de software, foi interrompida depois que pesquisadores derrubaram sua infraestrutura resiliente de comando e controle, que dependia de transações blockchain Solana e da rede BitTorrent DHT.
Em uma operação coordenada conduzida ontem, CrowdStrike, Google e The Shadowserver Foundation cortaram o acesso dos operadores de botnet a quatro canais distintos de comando e controle (C2) projetados para resistir aos esforços convencionais de interrupção.
As campanhas do Glassworm estão em andamento desde outubro de 2025 e inicialmente visavam desenvolvedores com extensões maliciosas OpenVSX e Microsoft VS Code que roubavam carteiras de criptomoedas e credenciais de desenvolvedor.
Ondas de ataques posteriores se estenderam aos repositórios GitHub e pacotes npm, com uma campanha em março impactando mais de 400 artefatos de software.
Em um ataque mais recente, os operadores do Glassworm plantaram dezenas de extensões inativas no OpenVSX que ativariam o componente malicioso após uma atualização.
Uma das razões pelas quais a ameaça Glassworm sobreviveu tanto tempo é a sua infra-estrutura C2, que depende de canais de comunicação não tradicionais que são difíceis de derrubar.
“A combinação de blockchain, peer-to-peer e serviços web legítimos como camadas de resolução foi projetada para ser resiliente contra quedas – uma frente dinâmica que protege os servidores C2 reais por trás de múltiplas camadas de indireção”, observa CrowdStrike.
Os pesquisadores dizem que “os operadores do Glassworm construíram sua infraestrutura para resiliência” e derrubar a botnet exigiu atingir os quatro canais C2 simultaneamente:
Blockchain Solana: os endereços dos servidores C2 são codificados nos campos de memorando das transações blockchain, criando um dead drop imutável e acessível ao público que não pode ser colocado offline por meios convencionais.
Tabela de hash distribuída BitTorrent (DHT): O GlasswormRAT consulta a rede ponto a ponto BitTorrent em busca de dados de configuração armazenados em chaves públicas codificadas, aproveitando uma rede global descentralizada sem nenhum ponto único de falha.
Serviço de calendário público: Glassworm usa títulos de eventos do Google Agenda como locais de armazenamento morto para caminhos C2 codificados em Base64.
Conexões diretas de servidor: a infraestrutura C2 tradicional hospedada em provedores comerciais de VPS serviu como mecanismo final de entrega de carga útil.
Arquitetura de comando e controle Glasswormfonte: CrowdStrike
Por causa dessa arquitetura, a interrupção de um único canal teria pouco impacto na operação do Glassworm, pois as comunicações poderiam mudar para outro canal, permitindo que o agente da ameaça mantivesse o controle.
"Todos os quatro canais tiveram que ser interrompidos simultaneamente em um esforço coordenado. Como resultado, as máquinas infectadas não podem mais receber novas instruções ou cargas úteis", diz CrowdStrike.
Após a interrupção, todas as máquinas comprometidas em um ataque Glassworm estão direcionando para o endereço IP 164.92.88[.]210 operado pela CrowdStrike.
As organizações são aconselhadas a procurar este indicador de rede e tomar medidas de remediação imediatas. Além disso, os pesquisadores publicaram regras YARA para confirmar infecções em hospedeiros suspeitos.
A lacuna de validação: o pentesting automatizado responde a uma pergunta. Você precisa de seis.
As ferramentas automatizadas de pentesting oferecem valor real, mas foram criadas para responder a uma pergunta: um invasor pode se mover pela rede? Eles não foram criados para testar se seus controles bloqueiam ameaças, se suas regras de detecção são acionadas ou se suas configurações de nuvem são mantidas. Este guia cobre as 6 superfícies que você realmente precisa validar.
Baixe agora
Em uma operação coordenada conduzida ontem, CrowdStrike, Google e The Shadowserver Foundation cortaram o acesso dos operadores de botnet a quatro canais distintos de comando e controle (C2) projetados para resistir aos esforços convencionais de interrupção.
As campanhas do Glassworm estão em andamento desde outubro de 2025 e inicialmente visavam desenvolvedores com extensões maliciosas OpenVSX e Microsoft VS Code que roubavam carteiras de criptomoedas e credenciais de desenvolvedor.
Ondas de ataques posteriores se estenderam aos repositórios GitHub e pacotes npm, com uma campanha em março impactando mais de 400 artefatos de software.
Em um ataque mais recente, os operadores do Glassworm plantaram dezenas de extensões inativas no OpenVSX que ativariam o componente malicioso após uma atualização.
Uma das razões pelas quais a ameaça Glassworm sobreviveu tanto tempo é a sua infra-estrutura C2, que depende de canais de comunicação não tradicionais que são difíceis de derrubar.
“A combinação de blockchain, peer-to-peer e serviços web legítimos como camadas de resolução foi projetada para ser resiliente contra quedas – uma frente dinâmica que protege os servidores C2 reais por trás de múltiplas camadas de indireção”, observa CrowdStrike.
Os pesquisadores dizem que “os operadores do Glassworm construíram sua infraestrutura para resiliência” e derrubar a botnet exigiu atingir os quatro canais C2 simultaneamente:
Blockchain Solana: os endereços dos servidores C2 são codificados nos campos de memorando das transações blockchain, criando um dead drop imutável e acessível ao público que não pode ser colocado offline por meios convencionais.
Tabela de hash distribuída BitTorrent (DHT): O GlasswormRAT consulta a rede ponto a ponto BitTorrent em busca de dados de configuração armazenados em chaves públicas codificadas, aproveitando uma rede global descentralizada sem nenhum ponto único de falha.
Serviço de calendário público: Glassworm usa títulos de eventos do Google Agenda como locais de armazenamento morto para caminhos C2 codificados em Base64.
Conexões diretas de servidor: a infraestrutura C2 tradicional hospedada em provedores comerciais de VPS serviu como mecanismo final de entrega de carga útil.
Arquitetura de comando e controle Glasswormfonte: CrowdStrike
Por causa dessa arquitetura, a interrupção de um único canal teria pouco impacto na operação do Glassworm, pois as comunicações poderiam mudar para outro canal, permitindo que o agente da ameaça mantivesse o controle.
"Todos os quatro canais tiveram que ser interrompidos simultaneamente em um esforço coordenado. Como resultado, as máquinas infectadas não podem mais receber novas instruções ou cargas úteis", diz CrowdStrike.
Após a interrupção, todas as máquinas comprometidas em um ataque Glassworm estão direcionando para o endereço IP 164.92.88[.]210 operado pela CrowdStrike.
As organizações são aconselhadas a procurar este indicador de rede e tomar medidas de remediação imediatas. Além disso, os pesquisadores publicaram regras YARA para confirmar infecções em hospedeiros suspeitos.
A lacuna de validação: o pentesting automatizado responde a uma pergunta. Você precisa de seis.
As ferramentas automatizadas de pentesting oferecem valor real, mas foram criadas para responder a uma pergunta: um invasor pode se mover pela rede? Eles não foram criados para testar se seus controles bloqueiam ameaças, se suas regras de detecção são acionadas ou se suas configurações de nuvem são mantidas. Este guia cobre as 6 superfícies que você realmente precisa validar.
Baixe agora
#samirnews #samir #news #boletimtec #botnet #glassworm #interrompido #após #remoção #da #infraestrutura #c2 #resiliente
🔔 Siga-nos para não perder nenhuma atualização!
Postar um comentário