Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

Ботнет Prometei использует SMB для майнинга криптовалюты

24/07/20

hack4-1

Исследователи безопасности компании Cisco Talos сообщили о новом ботнете, использующем протокол Microsoft Windows SMB для распространения в корпоративных сетях майнера криптовалюты.

Ботнет Prometei начал активность в марте 2020 года и привлек внимание ИБ-экспертов, поскольку использует модульную систему и разнообразные методы для компрометации систем, сокрытия своего присутствия и добычи криптовалюты Monero (XMR).

Атака начинается с компрометации протокола Windows Server Message Block (SMB) через уязвимости, в частности Eternal Blue. С помощью инструмента Mimikatz и брутфорс-атак злоумышленники находят в корпоративной сети учетные данные, которые затем отправляются на C&C-сервер для повторного использования модулями, предназначенными для проверки действительности паролей в других системах, использующих протоколы SMB и RDP.

В общей сложности ботнет насчитывает более 15 исполняемых модулей, контролируемых главным модулем. Prometei состоит из двух ветвей – ответственной за майнинг криптовалюты ветки C++ и ветки на базе .NET, занимающейся похищением учетных данных, эксплуатацией протокола SMB и обфускацией. Основная ветка может работать без дополнительной и самостоятельно подключаться к C&C-серверу, похищать учетные данные и добывать криптовалюту.

По данным Cisco Talos, в настоящее время ботнет состоит менее чем из ста инфицированных устройств. Так как Prometei начал работать недавно, в среднем в месяц он приносит своим операторам только $1250. Хотя сумма сравнительно небольшая, для «одного разработчика из Восточной Европы это больше, чем средняя зарплата во многих странах», считают исследователи.

Подключающиеся к C&C-серверу Prometei инфицированные системы находятся в Бразилии, США, Турции, Китае и Мексике. Один из C&C-серверов был изъят в июне нынешнего года, однако это никак не сказалось на его операциях.

Темы:майнингУгрозыботнетCisco Talos
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Хотите сотрудничать?

Выберите вариант!

Печатное издание
Интернет-портал
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...