13/03/23
С прошлого ноября по март этого года обновлённая версия вредоносного ботнета Prometei заразила более 10 000 систем по всему миру, передает Securitylab. Заражения носят как географически неизбирательный, так и целенаправленный характер, при этом большинство жертв зафиксировано в Бразилии, Индонезии и Китае.
Prometei, впервые обнаруженный в 2016 году, представляет собой модульный ботнет с большим набором компонентов и несколькими методами распространения, включающие в том числе использование уязвимостей Microsoft Exchange Server. В последнем варианте вредоноса, «Prometei V3», авторы ощутимо прокачали его скрытность в целевой системе.
Мотивы распространения кроссплатформенного ботнета носят в первую очередь финансовый характер, так как зараженные хосты используются для майнинга криптовалюты и сбора учётных данных.
Последовательность атаки следующая: после успешного закрепления в целевой системе выполняется команда PowerShell для загрузки полезной нагрузки ботнета с удаленного сервера. Затем основной модуль Prometei используется для получения фактической полезной нагрузки криптомайнинга и других вспомогательных компонентов.
Некоторые из этих модулей поддержки функционируют как программы-распространители, предназначенные для распространения вредоносного ПО через протокол удаленного рабочего стола (RDP), Secure Shell (SSH) и Samba (SMB).
Prometei v3 также примечателен тем, что использует алгоритм генерации домена (DGA) для создания C2-инфраструктуры. Кроме того, он содержит механизм самообновления и расширенный набор команд для сбора конфиденциальных данных и захвата хоста.
И последнее, но не менее важное: вредоносная программа развертывает веб-сервер Apache, связанный с веб-оболочкой на основе PHP, которая способна выполнять команды в кодировке Base64 и выполнять загрузку файлов.
«Это недавнее добавление новых возможностей указывает на то, что операторы Prometei постоянно обновляют ботнет и добавляют новые функции», — заявили исследователи компании Cisco Talos .
