新版Prometei僵尸网络感染全球10,000多个系统

Prometei僵尸网络

自2022年11月以来,名为Prometei的僵尸网络恶意软件的更新版本已感染全球10,000多个系统。

这些感染在地理上是不分青红皂白的,而且是机会主义的,据报道,大多数受害者在巴西、印度尼西亚和土耳其。

Prometei于2016年首次被发现,是一种模块化僵尸网络,具有大量组件和多种扩散方法,其中一些还包括利用Microsoft Exchange Server漏洞。

它还避免袭击俄罗斯而值得注意,这表明该行动背后的威胁行为者可能位于该国。

跨平台僵尸网络的动机是经济上的,主要是利用其受感染主机池来挖掘加密货币并获取凭据。

Cisco Talos在与黑客新闻分享的一份报告中表示,Prometei的最新变体(称为v3)改进了其现有功能,以挑战取证分析并进一步挖掘其对受害机器的访问权限。

Prometei僵尸网络

攻击顺序是这样进行的:在获得成功的立足点后,执行 PowerShell 命令以从远程服务器下载僵尸网络恶意软件。Prometei 的主要模块随后用于检索系统上的实际加密挖掘有效载荷和其他辅助组件。

其中一些支持模块用作传播程序,旨在通过远程桌面协议 (RDP)、安全外壳 (SSH) 和服务器消息块 (SMB) 传播恶意软件。

Prometei v3 还因使用域生成算法 (DGA) 构建其命令与控制 (C2) 基础设施而值得注意。它还包含一个自我更新机制和一组扩展的命令,以收集敏感数据并征用主机。

最后但同样重要的是,该恶意软件部署了一个Apache网络服务器,该服务器与基于PHP的网络外壳捆绑在一起,能够执行Base64编码的命令并执行文件上传。

“最近增加的新功能与威胁研究人员之前的断言一致,即Prometei运营商正在不断更新僵尸网络并添加功能,”Talos 说。

本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处: https://blog.wuhao13.xin/4875.html

标签