新版Prometei僵尸网络感染全球超过1万个系统
2023-3-13 11:48:33 Author: www.freebuf.com(查看原文) 阅读量:13 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

自2022年11月以来,新版本的Prometei的僵尸网络已经感染了全球超过10000个系统。这些感染没有地域的限制,大多数受害网络在巴西、印度尼西亚和土耳其。

Prometei在2016年首次被发现,是一个模块化的僵尸网络,具有大量的组件和几种扩散方法,其中一些还包括利用ProxyLogon微软Exchange服务器的缺陷。

这个跨平台僵尸网络的目标是金融领域,主要是利用其受感染的主机池来挖掘加密货币和收获凭证。

在《黑客新闻》的报告中说,Prometei的最新变体(称为v3)在其现有功能的基础上进行了改进,以进行取证分析,并进一步在受害者机器上钻取访问。

其攻击序列如下:在成功站稳脚跟后,执行PowerShell命令,从远程服务器下载僵尸网络恶意软件。然后,Prometei的主要模块被用来检索实际的加密采矿有效载荷和系统中的其他辅助组件。

其中一些辅助模块作为传播者,旨在通过远程桌面协议(RDP)、安全外壳(SSH)和服务器信息块(SMB)传播恶意软件。

Prometei v3还值得注意的是,它使用域生成算法(DGA)来建立其命令和控制(C2)基础设施。它还包括一个自我更新机制和一个扩展的命令集,以获取敏感数据并控制主机。

最后,该恶意软件还部署了一个Apache网络服务器,它捆绑了一个基于PHP的网络外壳,能够执行Base64编码的命令并进行文件上传。

参考链接:thehackernews.com/2023/03/new-version-of-prometei-botnet-infects.html


文章来源: https://www.freebuf.com/news/360219.html
如有侵权请联系:admin#unsafe.sh