Prometei: nowy Botnet kopie kryptowalutę Monero

Prometei, nowy atak botnetowy, pomija zabezpieczenia i realizuje kampanie w mniej inwazyjny sposób.

Prometei jest, zdaniem Cisco Talos - światowego zespołu badań nad bezpieczeństwem odpowiedzialnego za jego odkrycie, pierwszym udokumentowanym botnetem wielomodularnym. Botnet ten był aktywny od marca i od tego czasu zarabiał na jego twórcę, najprawdopodobniej pojedynczego dewelopera z Europy Wschodniej.

Prometei przedmiotem śledztwa ekspertów Cisco Talos

Talos opublikował raport, z którego wynika, że chociaż wiele zabezpieczeń jest w stanie wykryć działanie botnetu. Jednak większość użytkowników komputera nie będzie w stanie zorientować się, że jego komputer został podłączony do sieci botnet. Odkrycie Prometei jest zasługą starannego badania danych telemetrycznych dostarczonych dla Talos przez Cisco AMP.

Ponad dwumiesięczne śledztwo wykazało, że przestępca stojący za atakiem Prometei korzystał z wielu różnych technik exploit umożliwiających pozyskanie danych dostępowych do Windows Management Instrumentation (WMI) i Server Message Block (SMB). Sprawca korzysta też z wielu stworzonych na tę okazję narzędzi, które pozwalają zwiększyć ilość komputerów zaprzęgniętych do kopania Monero.

Przebieg ataku nowej koparki

Infekcja stacji końcowej zaczyna się od pojedynczego pliku botnet, który jest pobierany z innych, zainfekowanych już maszyn, za pośrednictwem SMB. W tym celu używane są hasła pozyskane za pomocą zmodyfikowanego modułu Mimikatz oraz exploitów takich jak Eternal Blue.

Eksperci z Talos podkreślają, że botnet zdaje się wiedzieć o najnowszych podatnościach w SMB, takich jak SMBGhost, ale nie ma dowodu na to, że faktycznie była ona wykorzystana. Prometei składa się z przynajmniej z 15 modułów wykonawczych, z których każdy jest pobierany i zarządzany przez moduł główny. Ten komunikuje się z serwerem command and control po protokole HTTP.

Botnet Prometei wykorzystuje przede wszystkim techniki frameworka MITRE ATT&CK. Są to techniki takie jak T1089 (Disabling Security Tools), T1105 (Remote File Copy), T1027 (Obfuscated Files or Information), T1086 (PowerShell), T1035 (Service Execution), T1036 (Masquerading) oraz T1090 (Connection Proxy).

Źródło: SC Media