CrowdStrikeは、GoogleおよびShadowserverの協力を得た作戦においてGlasswormボットネットを解体した。同社は火曜日、この作戦により、2025年初頭から数百ものオープンソースソフトウェアにマルウェアを感染させてきた脅威アクターのインフラへのアクセスを遮断したと発表した。
この協調的な取り組みでは、ボットネットの活動を隠蔽し、妨害に対して耐性を持つよう設計された攻撃者管理下の4台のサーバーを同時に停止させた。
CrowdStrikeとパートナー各社はインフラを停止させ、ボットネットの最も重要なサービスへのアクセスを遮断し、活動の勢いを削ぎ、攻撃者が規模を拡大する能力を低下させたと、CrowdStrikeの敵対者対策担当上級副社長アダム・メイヤーズがCyberScoopに語った。
「より大きな目標は、攻撃者がインフラを再構築するために時間・リソース・運用エネルギーを費やさざるを得ない状況を作り続ける、持続的な圧力だ」とメイヤーズは続けた。「攻撃手法を明らかにしてインテリジェンスを共有することで、防御側は開発環境・CI/CDパイプライン・ソフトウェアサプライチェーンを同様の活動に対して強化できる。これにより攻撃者のオペレーションコストが上がり、防御側が優位に立てる。」
Glasswormはソフトウェア開発者を標的にし、ソースコードリポジトリ、クラウドプラットフォーム、インテグレーション・デリバリープロセス、オープンソースパッケージレジストリへのアクセスを得て、サプライチェーンにマルウェアを送り込み、下流での侵害を引き起こしてきた。
CrowdStrikeによるとロシアを拠点とする可能性が高いとされるこのボットネットの背後にある脅威グループは、VSCode拡張機能、npmおよびPythonパッケージ、300以上のGitHubリポジトリにマルウェアを送り込んでいたと研究者らは述べた。
GlasswormはWindows、macOS、Linuxシステムに感染し、データと認証情報の窃取、およびGlasswormRATと呼ばれるリモートアクセスツールをもたらした。
「Glasswormで際立っていたのは、伝播と自動化に関する高度な運用洗練度だ」とメイヤーズは述べた。「これは単なるパッケージリポジトリへの即席侵害ではなかった。この作戦は、放置されれば非常に迅速にリーチを拡大できる形で、信頼された開発者のワークフローを通じて動くよう設計されていた。」
ボットネットはCrowdStrikeが破壊した4層のチャネルに依存しており、Solanaブロックチェーン、BitTorrentのピアツーピアネットワーク、Googleカレンダー、商業プロバイダーがホストする仮想プライベートサーバーが含まれる。
「妨害活動の一環として、特に攻撃者が当社製品を悪用したり当社ユーザーを標的にしているケースでは、パートナーと連携して攻撃者にさらなる打撃を与えるべく取り組んでいる」と、Googleスレットインテリジェンスグループのチーフアナリストであるジョン・ハルトクウィストはX上の投稿で述べた。
対抗措置は「連鎖的な運用上の打撃を生み出すため、オペレーションの結合組織を停止させた」とメイヤーズは言う。「これにより攻撃者は再構築を余儀なくされ、その手口が露わになる。」
CrowdStrikeは今回の解体作戦が、長期にわたる司法プロセスを待たずに攻撃者が使用する正確なインフラを先制的に妨害することで、セキュリティ業界がサプライチェーンの脅威を効果的に阻止できることを示していると述べた。
「脅威アクターが法執行機関の協力が限定的または皆無の法域から活動している場合、妨害は利用可能な最も効果的な手段の一つとなる。オペレーターに手錠をかけられないなら、インフラ・信頼関係・運用上の依存関係の解体に集中する」とメイヤーズは付け加えた。
このセキュリティ企業は、組織が自社環境での潜在的な感染を調査できるよう侵害の痕跡(IoC)を共有し、他のベンダー・法執行機関・プラットフォーム運営者・オープンソースエコシステムに対しても、ソフトウェアサプライチェーンの脅威への対応において同等の決意を示すよう呼びかけた。
「エコシステム全体でより多くの可視性と連携を生み出せば生み出すほど、攻撃者がひっそりとオペレーションを再開することが困難になる。脅威アクターを完全に排除できないかもしれないが、有効性を低下させ、リーチを制限し、活動コストを引き上げることは絶対に可能だ」とメイヤーズは述べた。
翻訳元: https://cyberscoop.com/crowdstrike-glassworm-botnet-takedown/
