Ngày 26/5/2026, liên minh CrowdStrike, Google và Shadowserver Foundation đã đồng thời vô hiệu hóa toàn bộ bốn kênh điều khiển (C2) được thiết kế dự phòng của mạng botnet Glassworm, bao gồm cả việc lợi dụng blockchain... Để vượt qua kiến trúc 'bất tử' mà kẻ tấn công tạo ra bằng cách sử dụng đồng thời Solana, BitTorre...

Create a landscape editorial hero image for this Studio Global article: What happened during CrowdStrike's coordinated takedown of the "unkillable" Glassworm botnet, which had been targeting software developers s. Article summary: On May 26, 2026, at 14:00 UTC, CrowdStrike's Counter Adversary Operations team, working with Google and the Shadowserver Foundation, executed a coordinated takedown of the Glassworm botnet by simultaneously disrupting al. Topic tags: general, general web. Reference image context from search candidates: Reference image 1: visual subject "# CrowdStrike, Google, and Shadowserver dismantle "unkillable" Glassworm botnet targeting software developers. CrowdStrike, Google, and Shadowserver dismantle. In a coordinated tak" source context "CrowdStrike, Google, and Shadowserver dismantle "unkillable ..." Reference image 2: visual subject "Abstract image of robots working
Chiến dịch triệt hạ mạng botnet Glassworm vào ngày 26 tháng 5 năm 2026 là một cột mốc đáng nhớ trong lịch sử an ninh mạng, thể hiện bước tiến vượt bậc trong cuộc chiến chống lại các mối đe dọa nhắm vào chuỗi cung ứng phần mềm. Đội ngũ Phản ứng Đối kháng (Counter Adversary Operations) của CrowdStrike, phối hợp cùng Google và tổ chức phi lợi nhuận Shadowserver Foundation, đã thực hiện một cuộc vô hiệu hóa đồng thời, được lên kế hoạch tỉ mỉ, nhắm vào một kiến trúc botnet được thiết kế có chủ đích để trở nên 'bất tử' trước các biện pháp triệt hạ thông thường .
Hoạt động từ đầu năm 2025, Glassworm không phải là một mạng botnet thông thường chuyên săn lùng thiết bị của người dùng cá nhân. Thay vào đó, nó đặc biệt nhắm vào các lập trình viên phần mềm, vũ khí hóa chính những công cụ mà họ tin tưởng. Kẻ tấn công đã đầu độc hơn 300 kho lưu trữ trên GitHub, chèn mã độc vào các tiện ích mở rộng của Visual Studio Code (VSCode), và xâm phạm các gói phần mềm trên cả hai kho lưu trữ npm và Python . Cách tiếp cận chuỗi cung ứng này mang lại cho mã độc sự hiện diện trên các hệ thống Windows, macOS, và Linux. Tải trọng cuối cùng là GlasswormRAT, một công cụ truy cập từ xa dựa trên Node.js có khả năng thu thập thông tin đăng nhập, ghi lại thao tác bàn phím và đánh cắp dữ liệu, qua đó biến máy của một lập trình viên thành bệ phóng cho các cuộc tấn công sâu hơn vào hệ thống của tổ chức
.
Điều làm cho Glassworm có sức chống chịu đặc biệt chính là hạ tầng chỉ huy và điều khiển (C2) đa kênh. Kẻ vận hành đã cố tình loại bỏ các điểm lỗi đơn lẻ bằng cách định tuyến giao tiếp qua bốn kênh dự phòng, riêng biệt .
Kiến trúc phân lớp này chính là cốt lõi tạo nên bản chất 'bất tử' của mạng botnet. Việc hạ gục một hoặc hai kênh sẽ khiến các kênh còn lại hoàn toàn hoạt động, cho phép kẻ vận hành nhanh chóng tái lập quyền kiểm soát .
Con đường khả thi duy nhất để ngăn chặn là một cuộc tấn công đồng thời vào cả bốn kênh C2. CrowdStrike mô tả thách thức này một cách rõ ràng: "Việc phá vỡ kiến trúc này đòi hỏi sự chính xác và đúng thời điểm. Chỉ hạ gục một kênh sẽ khiến các kênh khác vẫn hoạt động, cho phép kẻ vận hành nhanh chóng tái cấu trúc" .
Vào lúc 14:00 UTC ngày 26 tháng 5, liên minh đã thực thi một hành động phối hợp chính xác, cắt đứt kết nối giữa kẻ vận hành mạng botnet và mạng lưới máy bị nhiễm toàn cầu của chúng . Điều này không tự động xóa phần mềm độc hại GlasswormRAT khỏi các điểm cuối bị xâm nhập, nhưng nó đã chặn đứng khả năng của kẻ vận hành trong việc ra lệnh mới hoặc phân phối các tải trọng độc hại mới
. Chiến dịch đã vô hiệu hóa một cách hiệu quả khả năng tấn công của mạng botnet, mặc dù mã độc vẫn là một mối đe dọa tiềm ẩn trên một số lượng máy không xác định trên toàn thế giới
.
Đánh giá tình báo của CrowdStrike quy kết hoạt động của Glassworm có khả năng cao là do nhóm tội phạm mạng có trụ sở tại Nga thực hiện . Sự tập trung của nhóm này vào chuỗi cung ứng phần mềm mã nguồn mở đại diện cho một sự tiến hóa nguy hiểm trong chiến lược của các tác nhân đe dọa, chuyển từ việc nhắm mục tiêu vào các tổ chức người dùng cuối sang đầu độc chính các lập trình viên và công cụ mà các tổ chức đó phụ thuộc vào.
Cuộc triệt hạ này là một chiến thắng phòng thủ quan trọng, nhưng không phải là một phương thuốc chữa lành hoàn toàn. CrowdStrike đã khuyến nghị một loạt các bước khắc phục cụ thể để các tổ chức xác định và làm sạch mọi hệ thống bị nhiễm .
164.92.88[.]210, và sử dụng các quy tắc YARA được cung cấp trong bài blog công khai của họ để săn tìm các ca nhiễm Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
Ngày 26/5/2026, liên minh CrowdStrike, Google và Shadowserver Foundation đã đồng thời vô hiệu hóa toàn bộ bốn kênh điều khiển (C2) được thiết kế dự phòng của mạng botnet Glassworm, bao gồm cả việc lợi dụng blockchain...
Ngày 26/5/2026, liên minh CrowdStrike, Google và Shadowserver Foundation đã đồng thời vô hiệu hóa toàn bộ bốn kênh điều khiển (C2) được thiết kế dự phòng của mạng botnet Glassworm, bao gồm cả việc lợi dụng blockchain... Để vượt qua kiến trúc 'bất tử' mà kẻ tấn công tạo ra bằng cách sử dụng đồng thời Solana, BitTorrent, Google Calendar và máy chủ VPS, liên minh buộc phải tung một đòn tấn công đồng bộ và chính xác tuyệt đối vào cả bốn...
CrowdStrike khuyến cáo các tổ chức cần quét mã độc GlasswormRAT bằng nền tảng Falcon, kiểm tra nhật ký mạng với các địa chỉ IP cụ thể (164.92.88[.]210), và biện pháp triệt để duy nhất là xây dựng lại toàn bộ máy trạm...