自 2022 年 11 月以来,名为Prometei的僵尸网络恶意软件的更新版本已感染全球 10,000 多个系统。
这些感染在地理上是不分青红皂白的,而且是机会主义的,据报道,大多数受害者在巴西、印度尼西亚和土耳其。
Prometei 于 2016 年首次被发现,是一种模块化僵尸网络,具有大量组件和多种扩散方法,其中一些还包括利用ProxyLogon Microsoft Exchange Server 漏洞。
跨平台僵尸网络的动机是经济上的,主要是利用其受感染主机池来挖掘加密货币并获取凭据。
Cisco Talos在与黑客新闻分享的一份报告中表示,Prometei 的最新变体(称为 v3)改进了其现有功能,以挑战取证分析并进一步挖掘其对受害机器的访问权限。
攻击顺序是这样进行的:在获得成功的立足点后,执行 PowerShell 命令以从远程服务器下载僵尸网络恶意软件。Prometei 的主要模块随后用于检索系统上的实际加密挖掘有效载荷和其他辅助组件。
其中一些支持模块用作传播程序,旨在通过远程桌面协议 ( RDP )、安全外壳 ( SSH ) 和服务器消息块 ( SMB ) 传播恶意软件。
Prometei v3 还因使用域生成算法 ( DGA ) 构建其命令与控制 (C2) 基础设施而值得注意。它还包含一个自我更新机制和一组扩展的命令,以收集敏感数据并征用主机。
最后但同样重要的是,该恶意软件部署了一个 Apache 网络服务器,该服务器与基于 PHP 的网络外壳捆绑在一起,能够执行 Base64 编码的命令并执行文件上传。“最近增加的新功能与威胁研究人员之前的断言一致,即 Prometei 运营商正在不断更新僵尸网络并添加功能,”Talos 说。
