Cisco Talos– მა აღმოაჩინა ახალი ბოტნეტი, Prometei, რომელიც აქტიურია 2020 წლის მარტიდან და ორიენტირებულია Monero (XMR) კრიპტოვალუტის მოპოვებაზე.

Cisco Talos– მა აღმოაჩინა ახალი ბოტნეტი, Prometei, რომელიც აქტიურია 2020 წლის მარტიდან და ორიენტირებულია Monero (XMR) კრიპტოვალუტის მოპოვებაზე.

Malware ძირითადად თავს ესხმის მომხმარებლებს აშშ-დან, ბრაზილიიდან, პაკისტანიდან, ჩინეთიდან, მექსიკიდან და ჩილედან. ოთხი თვის საქმიანობის განმავლობაში, botnet ოპერატორებმა "მიიღეს" დაახლოებით $ 5000, ანუ საშუალოდ დაახლოებით 1,250 აშშ დოლარი თვეში.

Malware იყენებს რამდენიმე ტექნიკას გასავრცელებლად, მათ შორის LOLbins (ცხოვრობს გარეთ მიწა), ასევე იყენებს ლეგიტიმურ Windows პროცესებს მავნე კოდის აღსასრულებლად (მათ შორის PsExec და WMI), SMB– ის ექსპლოიტებს (EternalBlue ჩათვლით) და მოპარულ სიგელებს.

საერთო ჯამში, მკვლევარებმა 15-ზე მეტი ინგრედიენტი დაითვალეს Prometei– ში. ყველა მათგანი კონტროლდება ძირითადი მოდულის მიერ, რომელიც შიფვრავს (RC4) მონაცემებს, სანამ ის HTTP- ით გააგზავნის მართვის სერვერზე.

დამხმარე მოდულები შეიძლება გამოყენებულ იქნას Tor ან I2P- ს საშუალებით კომუნიკაციის დასამყარებლად, სისტემის ინფორმაციის მოსაგროვებლად, ღია პორტების შესამოწმებლად, SMB– ის გავრცელებით და ინფიცირებული სისტემის სკანირებისთვის ნებისმიერი კრიპტოვალუტის საფულეებისთვის. მაგალითად, ბოტნეტი იპარავს პაროლებს Mimikatz (miwalk.exe) შეცვლილი ვერსიით და შემდეგ ისინი გადაეცემა spreader მოდულს (rdpclip.exe) SMB– ს ანალიზისა და ავთენტიფიკაციისათვის. თუ ეს არ მუშაობს, EternalBlue- ს ექსპლოიტი გამოიყენება გამრავლებისთვის.

LLC Cyber Security Group | CYBSECGROUP მაღალტექნოლოგირუი პროექტების და პროდუქტების მწარმოებელი კომპანია