Нова версия на ботнета Prometei заразява над 10 000 системи по целия свят

Актуализирана версия на зловреден софтуер за ботнет, наречен Prometei, е заразила над 10 000 системи по целия свят от ноември 2022 г. насам.

Инфекциите са както географски безразборни, така и опортюнистични, като повечето жертви са докладвани в Бразилия, Индонезия и Турция.

Prometei, наблюдаван за пръв път през 2016 г., е модулна ботнет мрежа, която разполага с голям репертоар от компоненти и няколко метода за разпространение, някои от които включват и използване на пропуски в ProxyLogon на Microsoft Exchange Server.

Той се отличава и с това, че избягва да нанася удари по Русия, което предполага, че хакерите, които стоят зад операцията, вероятно са базирани в страната.

 

Мотивите на кросплатформения ботнет са финансови, като той използва предимно пула си от заразени хостове за добив на криптовалута и събиране на идентификационни данни.

Най-новият вариант на Prometei (наречен v3) подобрява съществуващите си функции, за да предизвика криминалистичния анализ и да задълбочи достъпа си до машините на жертвите, се казва в доклад на Cisco Talos, споделен с The Hacker News.

Последователността на атаката протича по следния начин: След като се установи успешно, се изпълнява команда PowerShell за изтегляне на полезния товар на ботнета от отдалечен сървър. След това основният модул на Prometei се използва за извличане на действителния полезен товар за криптодобив и други спомагателни компоненти в системата.

Някои от тези спомагателни модули функционират като програми за разпространение, предназначени за разпространение на зловредния софтуер чрез протоколите Remote Desktop Protocol (RDP), Secure Shell (SSH) и Server Message Block (SMB).

Prometei v3 заслужава да се отбележи и с използването на алгоритъм за генериране на домейни (DGA) за изграждане на инфраструктурата за командване и контрол (C2). Освен това той включва механизъм за самоактуализация и разширен набор от команди за събиране на чувствителни данни и управление на хоста.

Не на последно място, зловредният софтуер разполага с уеб сървър Apache, който е в комплект с базиран на PHP уеб шел, способен да изпълнява Base64-кодирани команди и да извършва качване на файлове.

„Това неотдавнашно добавяне на нови възможности [показва], че операторите на Prometei непрекъснато актуализират ботнета и добавят функционалност“, казват изследователите от Talos Андрю Уиндзор и Ваня Свайцер.

 

Източник: The Hacker News

Подобни публикации

26 септември 2023

WatchGuard получи най-високото признание

WatchGuard е обявена за лидер в последния доклад на G2 Grid и е отл...
26 септември 2023

WatchGuard с награда за отлични постижения в об...

Имаме удоволствието да споделим, че WatchGuard е обявена за победит...
26 септември 2023

Рансъмуерът Akira мутира и се насочва към систе...

Откакто се появи като заплаха през март, рансъмуерът Arika продължи...
26 септември 2023

Разликите между локалната и облачната киберсигу...

Разликата между управлението на киберсигурността в локални и облачн...
26 септември 2023

Нов вариант на BBTok е насочен към над 40 банк...

Активна кампания за зловреден софтуер, насочена към Латинска Америк...
25 септември 2023

Правилата за API на TikTok затрудняват анализа ...

Според учени новите условия за достъп на изследователите до API на ...
25 септември 2023

Акаунтът на Буретин в X беше хакнат

Хакери компрометират акаунта на Виталик Буретин в X, като открадват...
Бъдете социални
Още по темата
25/09/2023

Акаунтът на Буретин в X беш...

Хакери компрометират акаунта на Виталик Буретин...
22/09/2023

NCSC: Защо атаките за кибер...

44CON 2023 – Лондон – Според...
20/09/2023

Microsoft: Кибератаките "Pe...

Microsoft предупреждава, че глобална кампания за...
Последно добавени
26/09/2023

WatchGuard получи най-висок...

WatchGuard е обявена за лидер в...
26/09/2023

WatchGuard с награда за отл...

Имаме удоволствието да споделим, че WatchGuard...
26/09/2023

Рансъмуерът Akira мутира и ...

Откакто се появи като заплаха през...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!