Новая вредоносная кампания под названием Glassworm демонстрирует нестандартный подход к управлению заражёнными устройствами. Вместо классических C2-серверов злоумышленники используют блокчейн Solana, что усложняет обнаружение и блокировку.
Архитектура управления через блокчейн
В основе схемы лежит перенос командного центра в децентрализованную среду. Вредоносный код не обращается напрямую к управляющим серверам. Вместо этого он извлекает инструкции из данных, записанных в блокчейне Solana.
Ключевая идея использование транзакций и связанных с ними метаданных как канала передачи команд. Вредоносное ПО анализирует блокчейн и извлекает оттуда полезную нагрузку, закодированную в определённых полях.
Такой подход даёт сразу несколько преимуществ:
отсутствует единая точка отказа;
невозможно просто выключить сервер;
трафик выглядит как обычная работа с публичным блокчейном;
инфраструктура устойчива к блокировкам и sinkhole-операциям.
Использование "dead drop" механики
Glassworm применяет концепцию "dead drop" - заранее подготовленные точки, где оставляются команды для заражённых устройств.
В данном случае роль таких точек выполняют адреса в сети Solana. Злоумышленники публикуют данные в транзакциях, а малварь периодически проверяет эти адреса и считывает инструкции.
Это избавляет атакующих от необходимости поддерживать постоянное соединение с ботами. Вредоносный агент сам инициирует проверку и получает команды асинхронно.
Как работает вредоносная нагрузка
После заражения система выполняет несколько этапов. Сначала происходит развёртывание и закрепление в системе. Далее вредоносный код начинает взаимодействовать с блокчейном, используя публичные API или RPC-узлы. Затем извлекаются зашифрованные команды, выполняется декодирование и запускаются полученные инструкции.
Команды могут включать загрузку дополнительных модулей, выполнение скриптов или сбор данных с устройства.
Обфускация и маскировка
Glassworm активно использует методы сокрытия:
код обфусцирован для усложнения анализа;
сетевой трафик маскируется под легитимные запросы к блокчейну;
отсутствуют очевидные IOC, такие как фиксированные домены или IP-адреса.
Использование Solana как транспортного слоя делает детектирование на уровне сети значительно сложнее. Большинство систем безопасности не рассматривают блокчейн-трафик как потенциально вредоносный.
Почему это опасно
Главная проблема это смещение инфраструктуры управления в децентрализованную среду. Это меняет саму модель обнаружения угроз. Классические методы, основанные на блокировке доменов или IP, здесь не работают. Даже если отдельные узлы Solana будут заблокированы, злоумышленники могут использовать другие. Кроме того, такой подход снижает стоимость атаки и повышает её живучесть.
Практические последствия для безопасности
Для защиты от подобных угроз требуется смещение фокуса:
анализ поведения, а не только сетевых индикаторов;
контроль доступа к блокчейн API;
мониторинг аномалий в использовании публичных сервисов;
более глубокая инспекция исходящих соединений.
Особое внимание стоит уделить процессам, которые регулярно обращаются к внешним API без явной бизнес-логики.
Источник: HN