新版本的Prometei 僵尸網絡感染超過 10,000 個系統

近日，專家警告說，自2022年11月以來，新版本的Prometei僵尸網絡已感染全球10,000多個系統，加密挖掘僵尸網絡具有模塊化結構，并采用多種技術來感染系統和逃避檢測。

思科Talos專家于2020年7月首次觀察到Prometei僵尸網絡。對上傳到VirusTotal的工件進行深入調查后，專家們確定該僵尸網絡可能至少從2016年5月開始就一直活躍，并且該惡意軟件一直在不斷更新由其創建者實施的新模塊和功能。

Cisco Talos發布的帖子指出：“更具體地說，僵尸網絡運營商更新了執行鏈的某些子模塊，以自動化流程并挑戰取證分析方法。根據2023年2月在 DGA 域下沉一周期間獲得的數據，評估 Prometei 僵尸網絡v3的規模為中等，在全球范圍內有超過 10,000 個受感染的系統。”

此外，專家們注意到，Tor 配置中唯一被排除在外的國家是俄羅斯。該僵尸程序感染了來自 155 個國家/地區的系統，大多數受害者位于巴西、印度尼西亞和土耳其。俄羅斯僅占所有受感染系統的 0.31%，支持 Talos 根據其 Tor 配置評估該機器人的目標受到俄羅斯-烏克蘭沖突的影響。

Talos 發布的報告指出：“通過‘netsh’命令執行名為‘安全套接字隧道協議 (HTTP)’的防火墻規則，將‘C:\Windows\sqhost.exe’添加到允許的程序列表中。持久性是通過創建名為‘UPlugPlay’的自動化系統服務獲得的，該服務使用參數‘Dcomsvc’執行 sqhost.exe，然后將原始下載的文件從‘zsvc.exe’重命名為‘sqhost.exe’。”

一些可以從主模塊下載的附加組件允許僵尸程序通過服務器消息塊(SMB)、遠程桌面協議(RDP)和安全外殼(SSH)進行傳播。

Talos 確定了新的 Prometei TTP，它們擴展了僵尸網絡的功能，并且在撰寫本文時尚未在開源報告中得到強調。最近增加的新功能與威脅研究人員之前的斷言一致，即 Prometei 運營商正在不斷更新僵尸網絡并添加功能。