野外发现了一个新的僵尸网络,该僵尸网络利用Microsoft Windows SMB协议在整个系统中横向移动,同时秘密地挖掘加密货币。
在周三与ZDNet共享的一份报告中,思科Talos解释说,自2020年3月以来,Prometei恶意软件一直在巡视。
新的僵尸网络值得关注,因为它使用了广泛的模块化系统和多种技术来破坏系统并向最终用户隐藏其存在,以便挖掘出Monero(XMR)。
Prometei的感染链始于通过包括Eternal Blue在内的SMB漏洞试图破坏计算机的Windows Server消息块(SMB)协议。
使用Mimikatz和蛮力攻击来扫描,存储和尝试被盗凭证,并将发现的所有密码发送到操作员的命令和控制(C2)服务器,以供“其他尝试验证有效性的模块”重用。使用SMB和RDP协议在其他系统上设置密码”,研究人员说。
僵尸网络总共有15个可执行模块,这些模块由一个主模块控制。僵尸网络分为两个主要功能分支:一个是C ++分支,专门用于加密货币挖掘操作,另一个是-基于.NET的分支,后者专注于凭证盗窃,滥用SMB和混淆。
但是,主分支可以独立于第二分支运行,因为它包含用于与C2通信,凭证盗窃和挖掘的功能。
辅助模块也已固定,恶意软件可以使用它们通过TOR或I2P网络进行通信,收集系统信息,检查开放端口,在SMB上传播以及扫描是否存在任何加密货币钱包。
一旦系统受到威胁并添加到从属网络中,攻击者就可以执行各种任务,包括执行程序和命令,启动命令外壳,设置RC4加密密钥以进行通信,打开,下载和窃取文件,以及启动加密货币挖矿操作以及其他功能。
根据塔洛斯(Talos)对采矿模块的检查,看来受Prometei感染的系统的当前数量为“低千”。该僵尸网络仅运行了四个月,因此目前的收入并不高,平均每月仅产生1,250美元。
已从美国,巴西,土耳其,中国和墨西哥等国家/地区检测到Prometei C2请求。
该运营商的一台C2服务器在6月被查封,但这似乎对Prometei的运营没有任何实质性影响。
Talos说:“尽管与其他一些网络犯罪活动相比,每月1250美元的收入听起来并不可观,但对于东欧的一家开发商来说,这提供的收益超过了许多国家的平均月薪,” Talos说。“也许这就是为什么,如果我们查看许多僵尸网络组件中程序数据库文件的嵌入式路径,就会看到对文件夹c:\ Work的引用。”
*编译:Domino
*来自:zdnet