Контакты
Подписка 2024
Удаленный доступ
4 июля. Защищенный удаленный доступ к ИТ-инфраструктуре: как обеспечить контролируемое подключение внешних сотрудников
Регистрируйтесь на онлайн-конференцию!

Новая версия ботнета Prometei заразила более 10 тысяч систем по всему миру

13/03/23

С прошлого ноября по март этого года обновлённая версия вредоносного ботнета Prometei заразила более 10 000 систем по всему миру, передает Securitylab. Заражения носят как географически неизбирательный, так и целенаправленный характер, при этом большинство жертв зафиксировано в Бразилии, Индонезии и Китае.

Prometei, впервые обнаруженный в 2016 году, представляет собой модульный ботнет с большим набором компонентов и несколькими методами распространения, включающие в том числе использование уязвимостей Microsoft Exchange Server. В последнем варианте вредоноса, «Prometei V3», авторы ощутимо прокачали его скрытность в целевой системе.

1xs047csj3czjmuqj1t5lr3bcjzl5pa3

Мотивы распространения кроссплатформенного ботнета носят в первую очередь финансовый характер, так как зараженные хосты используются для майнинга криптовалюты и сбора учётных данных.

Последовательность атаки следующая: после успешного закрепления в целевой системе выполняется команда PowerShell для загрузки полезной нагрузки ботнета с удаленного сервера. Затем основной модуль Prometei используется для получения фактической полезной нагрузки криптомайнинга и других вспомогательных компонентов.

Некоторые из этих модулей поддержки функционируют как программы-распространители, предназначенные для распространения вредоносного ПО через протокол удаленного рабочего стола (RDP), Secure Shell (SSH) и Samba (SMB).

Prometei v3 также примечателен тем, что использует алгоритм генерации домена (DGA) для создания C2-инфраструктуры. Кроме того, он содержит механизм самообновления и расширенный набор команд для сбора конфиденциальных данных и захвата хоста.

И последнее, но не менее важное: вредоносная программа развертывает веб-сервер Apache, связанный с веб-оболочкой на основе PHP, которая способна выполнять команды в кодировке Base64 и выполнять загрузку файлов.

«Это недавнее добавление новых возможностей указывает на то, что операторы Prometei постоянно обновляют ботнет и добавляют новые функции», — заявили исследователи компании Cisco Talos .

Темы:майнингПреступленияботнетCisco Talos
NGFW
28 июня. Комплексный подход к кибербезопасности. Защита АСУ ТП. Безопасность КИИ
Участвуйте и представляйте решения!

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...