自2022年11月以來,新版本的Prometei的僵尸網絡已經感染了全球超過10000個系統。這些感染沒有地域的限制,大多數受害網絡在巴西、印度尼西亞和土耳其。

Prometei在2016年首次被發現,是一個模塊化的僵尸網絡,具有大量的組件和幾種擴散方法,其中一些還包括利用ProxyLogon微軟Exchange服務器的缺陷。

這個跨平臺僵尸網絡的目標是金融領域,主要是利用其受感染的主機池來挖掘加密貨幣和收獲憑證。

在《黑客新聞》的報告中說,Prometei的最新變體(稱為v3)在其現有功能的基礎上進行了改進,以進行取證分析,并進一步在受害者機器上鉆取訪問。

其攻擊序列如下:在成功站穩腳跟后,執行PowerShell命令,從遠程服務器下載僵尸網絡惡意軟件。然后,Prometei的主要模塊被用來檢索實際的加密采礦有效載荷和系統中的其他輔助組件。

其中一些輔助模塊作為傳播者,旨在通過遠程桌面協議(RDP)、安全外殼(SSH)和服務器信息塊(SMB)傳播惡意軟件。

Prometei v3還值得注意的是,它使用域生成算法(DGA)來建立其命令和控制(C2)基礎設施。它還包括一個自我更新機制和一個擴展的命令集,以獲取敏感數據并控制主機。

最后,該惡意軟件還部署了一個Apache網絡服務器,它捆綁了一個基于PHP的網絡外殼,能夠執行Base64編碼的命令并進行文件上傳。

僵尸網絡 軟件
撤稿糾錯
本作品采用《CC 協議》,轉載必須注明作者和本文鏈接