Glasswormボットネット、耐障害性のあるC2インフラ解体により壊滅

ソフトウェアサプライチェーン攻撃で開発者を標的にしていたGlasswormボットネットが、SolanaブロックチェーンのトランザクションとBitTorrent DHTネットワークを活用した耐障害性の高いコマンド＆コントロールインフラを研究者たちが解体したことで壊滅した。

昨日実施された協調作戦において、CrowdStrike、Google、およびThe Shadowserver Foundationは、従来の妨害工作に対抗するよう設計された4つの異なるコマンド＆コントロール（C2）チャネルへのボットネット運営者のアクセスを遮断した。

Glasswormのキャンペーンは2025年10月から継続しており、当初は暗号資産ウォレットや開発者の認証情報を盗む悪意のあるOpenVSXおよびMicrosoft VS Code拡張機能を使って開発者を標的にしていた。

その後の攻撃波はGitHubリポジトリやnpmパッケージにまで拡大し、3月のキャンペーンでは400以上のソフトウェア成果物に影響を及ぼした。

より最近の攻撃では、Glasswormの運営者がOpenVSXに数十の休眠拡張機能を仕込み、アップデート後に悪意のあるコンポーネントが起動するよう設定した。

Glasswormの脅威がこれほど長期間生き残った理由の一つは、そのC2インフラにある。このインフラは、解体が困難な非従来型の通信チャネルに依存している。

「ブロックチェーン、ピアツーピア、および正規のウェブサービスを名前解決レイヤーとして組み合わせた構成は、テイクダウンへの耐性を持つよう設計されており、複数の間接層の背後にある実際のC2サーバーを守る動的なフロントとなっている」とCrowdStrikeは指摘する。

研究者たちは「Glasswormの運営者はインフラを耐障害性を持つよう構築した」と述べており、ボットネットを解体するには4つのC2チャネルを同時に攻撃する必要があったとしている：

1. Solanaブロックチェーン：C2サーバーのアドレスがブロックチェーントランザクションのメモフィールドにエンコードされており、従来の手段ではオフラインにできない不変かつ公開アクセス可能なデッドドロップを形成している。
2. BitTorrent分散ハッシュテーブル（DHT）：GlasswormRATはハードコードされた公開鍵に対して保存された設定データをBitTorrentのピアツーピアネットワークに問い合わせ、単一障害点を持たないグローバルな分散ネットワークを活用している。
3. 公開カレンダーサービス：GlasswormはGoogle CalendarのイベントタイトルをBase64エンコードされたC2パスのデッドドロップ場所として使用している。
4. 直接サーバー接続：商用VPSプロバイダーにホストされた従来型のC2インフラが、最終的なペイロード配信メカニズムとして機能していた。

このアーキテクチャにより、単一のチャネルを妨害してもGlassworm作戦への影響は軽微であり、通信を別のチャネルに切り替えることで脅威アクターが制御を維持できる仕組みになっていた。

「4つのチャネルすべてを協調した取り組みの中で同時に妨害する必要があった。その結果、Glassworm攻撃に感染したマシンは新しい命令やペイロードを受信できなくなった」とCrowdStrikeは述べている。

妨害後、Glassworm攻撃によって侵害されたすべてのマシンは、CrowdStrikeが運営するIPアドレス164.92.88[.]210にビーコン送信を行っている。

組織はこのネットワーク指標を確認し、直ちに修復措置を講じることが推奨される。また、研究者たちは感染の疑いがあるホストで感染を確認するためのYARAルールを公開している。