Ανακαλύφθηκε νέο botnet, το οποίο εκμεταλλεύεται το Microsoft Windows SMB πρωτόκολλο για να εξαπλωθεί σε συστήματα με τελικό στόχο το crypto mining. Σύμφωνα με την Cisco Talos, το νέο botnet ονομάζεται Prometei και εμφανίστηκε τον Μάρτιο.
Το νέο Prometei botnet θεωρείται αρκετά επικίνδυνο, δεδομένου ότι χρησιμοποιεί ποικιλία τεχνικών για την παραβίαση των συστημάτων και την απόκρυψη της παρουσίας του από τους τελικούς χρήστες. Το botnet στοχεύει στην εξόρυξη Monero (XMR).
Η αλυσίδα μόλυνσης του Prometei ξεκινά με την απόπειρα παραβίασης του πρωτοκόλλου Windows Server Message Block (SMB) ενός μηχανήματος μέσω ευπαθειών SMB, συμπεριλαμβανομένης της Eternal Blue.
Οι Mimikatz και brute-force επιθέσεις χρησιμοποιούνται για σάρωση, αποθήκευση και δοκιμή κλεμμένων credentials. Κωδικοί πρόσβασης, που ανακαλύπτονται, αποστέλλονται στον command-and-control (C2) server των hackers για επαναχρησιμοποίηση από “άλλες ενότητες που επιχειρούν να επαληθεύσουν την εγκυρότητα των κωδικών πρόσβασης σε άλλα συστήματα που χρησιμοποιούν πρωτόκολλα SMB και RDP”.
Συνολικά, το Prometei botnet έχει πάνω από 15 εκτελέσιμα modules που ελέγχονται από ένα κύριο module. Το botnet είναι οργανωμένο σε δύο κύριους κλάδους λειτουργιών: η μια λειτουργία έχει να κάνει με το crypto mining και η δεύτερη με την κλοπή credentials, την κατάχρηση SMB και τη απόκρυψη της δράσης του.
Τα βοηθητικά modules μπορούν να χρησιμοποιηθούν από το κακόβουλο λογισμικό για επικοινωνία μέσω δικτύων TOR ή I2P, για τη συλλογή πληροφοριών συστήματος, για την ανίχνευση ανοιχτών θυρών, για εξάπλωση σε SMB και για τον εντοπισμό cryptocurrency wallets.
Μόλις ένα σύστημα παραβιαστεί και προστεθεί στο μολυσμένο δίκτυο, ο επιτιθέμενος μπορεί να εκτελέσει εντολές και προγράμματα, να ρυθμίσει κλειδιά κρυπτογράφησης RC4, να ανοίξει, να κατεβάσει και να κλέψει αρχεία, να κάνει crypto mining και πολλά άλλα.
Βάσει της ανάλυσης της Talos σχετικά με την crypto mining λειτουργία, τα θύματα δεν είναι πάρα πολλά. Το Prometei botnet λειτουργεί μόνο τέσσερις μήνες και έτσι τα κέρδη δεν είναι προς το παρόν υψηλά (1.250 $ ανά μήνα κατά μέσο όρο).
Requests από Prometei C2 servers βρέθηκαν από χώρες όπως οι ΗΠΑ, η Βραζιλία, η Τουρκία, η Κίνα και το Μεξικό.
Ένας από τους C2 servers έκλεισε τον Ιούνιο, αλλά αυτό δεν φαίνεται να είχε ουσιαστικό αντίκτυπο στη λειτουργία του Prometei.
Αν και τα 1.250 $ ανά μήνα δεν είναι σημαντικό ποσό σε σύγκριση με άλλες επιχειρήσεις στον κυβερνοχώρο, θα μπορούσε να θεωρείται καλό μηνιάτικο για έναν προγραμματιστή, λέει η Talos.