Появление GlassWorm — самораспространяющегося червя — отражает значительную эволюцию угроз в кибербезопасности. Первоначально обнаруженный системой Koi risk engine из‑за подозрительного поведения расширения OpenVSX с именем CodeJoy, этот образец демонстрирует сочетание сложных техник сокрытия, децентрализованной инфраструктуры управления и целенаправленного сбора учетных данных.
Ключевые характеристики вредоносного ПО
- Скрытность на уровне кода: GlassWorm внедряет вредоносный код в непечатаемые символы Unicode, которые чаще всего остаются незамеченными обычными редакторами и код‑ревью.
- Децентрализованное C2: для коммуникации с управляющей инфраструктурой используется блокчейн Solana, что повышает устойчивость к демонтажу и усложняет отслеживание.
- Альтернативные каналы команд: помимо Solana, злоумышленники используют BitTorrent’s Distributed Hash Table (DHT) для распространения команд и уменьшения зависимости от центральных серверов C2.
- Peer‑to‑peer связи: реализованы модули WebRTC, обеспечивающие одноранговую связь и сохранение контроля при вывода отдельных узлов из строя.
- Проксирование трафика: модуль ZOMBI превращает зараженные компьютеры в SOCKS-прокси для ретрансляции трафика злоумышленников.
- Удалённый контроль: в арсенале есть механизмы скрытого доступа, включая HVNC (Hidden VNC), позволяющие невидимо управлять скомпрометированными системами.
- Механизм самораспространения: основой экспансии служат украденные учетные данные, используемые для распространения внутри сетей и учетных записей.
Почему выбор Solana и DHT критичен
Использование блокчейна Solana в качестве инфраструктуры командования и контроля — нетривиальное решение: транзакции блокчейна позволяют хранить и передавать команды в публичной, распределённой среде, где удаление следов и блокировка отдельных нод значительно затруднены. В сочетании с BitTorrent DHT и WebRTC это обеспечивает резервные, взаимодублирующие каналы связи между оператором и заражёнными узлами.
Последствия для безопасности и масштабы
Анализ полезной нагрузки показывает, что GlassWorm активно собирает учетные записи и конфиденциальную информацию пользователей, а также использует заражённые компьютеры как инфраструктуру для дальнейших атак и отмывания трафика. На текущий момент количество активных заражений оценивается примерно в 35 800, что подчеркивает масштабы проблемы и уязвимость цепочек поставки программного обеспечения. Особенно тревожен факт проникновения через репозиторий расширений — уязвимость дистрибуции ПО остаётся одной из ключевых точек входа для подобных угроз.
Практические рекомендации по защите
- Немедленно провести аудит установленных расширений в корпоративной и пользовательской среде; отключить и удалить сомнительные расширения, включая CodeJoy и другие неподписанные пакеты.
- Активировать многофакторную аутентификацию (MFA) и принудительную смену паролей для подозреваемых учётных записей; предполагать компрометацию учётных данных и реализовать принципы least privilege.
- Развернуть/обновить EDR/AV‑решения, настроить детектирование необычного сетевого поведения: исходящие подключения на нестандартные порты, появление SOCKS-прокси, аномалии WebRTC и BitTorrent‑трафика.
- Ограничить установку расширений на уровне политики и использовать репозитории/магазины с проверкой цифровых подписей и строгой модерацией.
- Мониторить и анализировать активность в блокчейнах и DHT‑сетях при подозрении на C2‑использование; при необходимости привлекать профильные threat intelligence‑сервисы.
- План реагирования: подготовить сценарии инцидента, процедуры изоляции заражённых хостов и восстановление из резервных копий, а также процедуры уведомления затронутых сторон.
Вывод
GlassWorm демонстрирует сочетание хитроумных техник сокрытия и устойчивой, децентрализованной C2‑инфраструктуры. Это не просто «новое вредоносное ПО» — это показатель эволюции угроз, где злоумышленники используют публичные, распределённые сервисы и протоколы для повышения живучести и усложнения детекции. Для организаций и пользователей ключевыми мерами остаются своевременный аудит расширений, защита учетных записей и проактивный мониторинг сетевого поведения.
Рекомендация для ИТ‑команд: при обнаружении признаков заражения обращаться к профильным специалистам и службам threat intelligence для получения детальных IOCs и пошагового плана реагирования.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "GlassWorm: самораспространяющийся червь с C2 на Solana и скрытностью Unicode".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.
