Търсене
Close this search box.

Нова версия на ботнета Prometei заразява над 10 000 системи по целия свят

Актуализирана версия на зловреден софтуер за ботнет, наречен Prometei, е заразила над 10 000 системи по целия свят от ноември 2022 г. насам.

Инфекциите са както географски безразборни, така и опортюнистични, като повечето жертви са докладвани в Бразилия, Индонезия и Турция.

Prometei, наблюдаван за пръв път през 2016 г., е модулна ботнет мрежа, която разполага с голям репертоар от компоненти и няколко метода за разпространение, някои от които включват и използване на пропуски в ProxyLogon на Microsoft Exchange Server.

Той се отличава и с това, че избягва да нанася удари по Русия, което предполага, че хакерите, които стоят зад операцията, вероятно са базирани в страната.

 

Мотивите на кросплатформения ботнет са финансови, като той използва предимно пула си от заразени хостове за добив на криптовалута и събиране на идентификационни данни.

Най-новият вариант на Prometei (наречен v3) подобрява съществуващите си функции, за да предизвика криминалистичния анализ и да задълбочи достъпа си до машините на жертвите, се казва в доклад на Cisco Talos, споделен с The Hacker News.

Последователността на атаката протича по следния начин: След като се установи успешно, се изпълнява команда PowerShell за изтегляне на полезния товар на ботнета от отдалечен сървър. След това основният модул на Prometei се използва за извличане на действителния полезен товар за криптодобив и други спомагателни компоненти в системата.

Някои от тези спомагателни модули функционират като програми за разпространение, предназначени за разпространение на зловредния софтуер чрез протоколите Remote Desktop Protocol (RDP), Secure Shell (SSH) и Server Message Block (SMB).

Prometei v3 заслужава да се отбележи и с използването на алгоритъм за генериране на домейни (DGA) за изграждане на инфраструктурата за командване и контрол (C2). Освен това той включва механизъм за самоактуализация и разширен набор от команди за събиране на чувствителни данни и управление на хоста.

Не на последно място, зловредният софтуер разполага с уеб сървър Apache, който е в комплект с базиран на PHP уеб шел, способен да изпълнява Base64-кодирани команди и да извършва качване на файлове.

„Това неотдавнашно добавяне на нови възможности [показва], че операторите на Prometei непрекъснато актуализират ботнета и добавят функционалност“, казват изследователите от Talos Андрю Уиндзор и Ваня Свайцер.

 

Източник: The Hacker News

Подобни публикации

30 май 2024

OmniVision призна за атака с рансъмуер

Гигантът в областта на производството на полупроводници OmniVision ...
29 май 2024

Пуснат е експлойт за FortiSIEM с максимална тежест

Изследователи в областта на сигурността публикуваха доказателство з...
29 май 2024

Операторът на NYSE Intercontinental Exchange по...

Миналата сряда Комисията по ценните книжа и фондовите борси на САЩ ...
29 май 2024

Рутерът за игри TP-Link Archer C5400X е уязвим

Рутерът за игри TP-Link Archer C5400X е уязвим към пропуски в сигур...
29 май 2024

Christie's потвърждава пробив от RansomHub

Christie’s потвърди, че е претърпяла инцидент със сигурността...
28 май 2024

Потребителите на блокери на реклами имат пробле...

Много потребители съобщават, че видеоклиповете в YouTube автоматичн...
28 май 2024

VMware е била използвана в неотдавнашната хакер...

MITRE сподели информация за това как свързаните с Китай хакери са и...
Бъдете социални
Още по темата
28/05/2024

Хакерите се насочват към VP...

Заплахите се насочват към VPN устройствата...
27/05/2024

Атаките от типа "нулев ден"...

Атаките от типа „нулев ден“ продължават...
25/05/2024

Хакери избягаха с 3 000 гал...

Почти всеки ден новинарските агенции съобщават...
Последно добавени
30/05/2024

OmniVision призна за атака ...

Гигантът в областта на производството на...
29/05/2024

Пуснат е експлойт за FortiS...

Изследователи в областта на сигурността публикуваха...
29/05/2024

Операторът на NYSE Intercon...

Миналата сряда Комисията по ценните книжа...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!