Нова версия на ботнета Prometei заразява над 10 000 системи по целия свят

Актуализирана версия на зловреден софтуер за ботнет, наречен Prometei, е заразила над 10 000 системи по целия свят от ноември 2022 г. насам.

Инфекциите са както географски безразборни, така и опортюнистични, като повечето жертви са докладвани в Бразилия, Индонезия и Турция.

Prometei, наблюдаван за пръв път през 2016 г., е модулна ботнет мрежа, която разполага с голям репертоар от компоненти и няколко метода за разпространение, някои от които включват и използване на пропуски в ProxyLogon на Microsoft Exchange Server.

Той се отличава и с това, че избягва да нанася удари по Русия, което предполага, че хакерите, които стоят зад операцията, вероятно са базирани в страната.

 

Мотивите на кросплатформения ботнет са финансови, като той използва предимно пула си от заразени хостове за добив на криптовалута и събиране на идентификационни данни.

Най-новият вариант на Prometei (наречен v3) подобрява съществуващите си функции, за да предизвика криминалистичния анализ и да задълбочи достъпа си до машините на жертвите, се казва в доклад на Cisco Talos, споделен с The Hacker News.

Последователността на атаката протича по следния начин: След като се установи успешно, се изпълнява команда PowerShell за изтегляне на полезния товар на ботнета от отдалечен сървър. След това основният модул на Prometei се използва за извличане на действителния полезен товар за криптодобив и други спомагателни компоненти в системата.

Някои от тези спомагателни модули функционират като програми за разпространение, предназначени за разпространение на зловредния софтуер чрез протоколите Remote Desktop Protocol (RDP), Secure Shell (SSH) и Server Message Block (SMB).

Prometei v3 заслужава да се отбележи и с използването на алгоритъм за генериране на домейни (DGA) за изграждане на инфраструктурата за командване и контрол (C2). Освен това той включва механизъм за самоактуализация и разширен набор от команди за събиране на чувствителни данни и управление на хоста.

Не на последно място, зловредният софтуер разполага с уеб сървър Apache, който е в комплект с базиран на PHP уеб шел, способен да изпълнява Base64-кодирани команди и да извършва качване на файлове.

„Това неотдавнашно добавяне на нови възможности [показва], че операторите на Prometei непрекъснато актуализират ботнета и добавят функционалност“, казват изследователите от Talos Андрю Уиндзор и Ваня Свайцер.

 

Източник: The Hacker News

Подобни публикации

20 март 2023

Хакерите са се насочвали предимно към уязвимост...

Хакерите продължават да се насочват към уязвимостите от типа „...
20 март 2023

Препоръки на CISA за домашните мрежи - част1

ПРЕПОРЪКИ ЗА КОМПЮТЪРНИ И РАЗВЛЕКАТЕЛНИ УСТРОЙСТВА За да се предотв...
20 март 2023

Windows 11 ще иска разрешение, преди да закача ...

Microsoft съобщава, че ще предостави на разработчиците нов API, кой...
19 март 2023

Winter Vivern е насочена към индийски, източное...

АРТ групата, известна като Winter Vivern, е свързана с кампании, на...
18 март 2023

Измерване на ефективността на SOC

Компаниите трябва да измерват ефективността във всички области на д...
17 март 2023

(ISC)² с програма за 1 000 000 безплатни курсов...

Искате да видите  себе си в киберсигурността? Не ви е необходим опи...
Бъдете социални
Още по темата
19/03/2023

Winter Vivern е насочена къ...

АРТ групата, известна като Winter Vivern,...
15/03/2023

Федералната агенция на САЩ ...

Миналата година уеб сървърът на Microsoft...
13/03/2023

Шпионират ли ви през вашия ...

Новият зловреден софтуер HiatusRAT се насочва...
Последно добавени
20/03/2023

Хакерите са се насочвали пр...

Хакерите продължават да се насочват към...
20/03/2023

Препоръки на CISA за домашн...

ПРЕПОРЪКИ ЗА КОМПЮТЪРНИ И РАЗВЛЕКАТЕЛНИ УСТРОЙСТВА...
20/03/2023

Windows 11 ще иска разрешен...

Microsoft съобщава, че ще предостави на...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!