Prometei: ботнет атакует уязвимые почтовые серверы

Prometei: ботнет атакует уязвимые почтовые серверы
32adf11245df38eacff1273546f47e98.jpg

Согласно статистике Microsoft, порядка 92% публичных почтовых Exchange серверов уже получили срочные патчи для устранения опасных уязвимостей под общим названием ProxyLogon, о которых мы писали ранее в марте. Несмотря на это, разнообразие вредоносного ПО, использующего комплекс уязвимостей ProxyLogon для различных целей, продолжает увеличиваться, осложняя жизнь администраторам безопасности.

Специалисты команды Cybereason Nocturnus обнаружили малоизвестный до сих пор ботнет, наделенный расширенным функционалом, включая эксплуатацию ProxyLogon с последующим закреплением в скомпрометированной сети с помощью бэкдора. Ботнет получил название Prometei. Основная цель Prometei – распространить установку майнера криптовалюты Monero по скомпрометированной сети, для чего ботнет использует различные методы и инструменты, от Mimikatz до эксплойтов EternalBlue и BlueKeep. Отмечается, что Prometei имеет версии как для Windows, так и Linux-систем, и в зависимости от обнаруженной операционной системы регулирует вредоносную полезную нагрузку при распространении по сети. При этом опасность представляет не только компонент майнера, но и многофункциональный бэкдор, поддерживающий широкий спектр задач: запуск различных программ, скачивание файлов, открытие файлов, установка связи с C&C серверами и др.

Согласно отчету по расследованию атак с применением Prometei, ботнет пытается скрыть вредоносные действия, маскируя свои различные компоненты под системные файлы на конечных устройствах, используя их имена, например, для файлов RdpcIip.exe (с заглавной «i» вместо строчной «L») и Windrlver.exe (с буквой «L» в нижнем регистре, а не с заглавной «i»), позволяющих выполнять сбор учетных данных и распространение по сети с их использованием.

Эксперты предполагают, что хотя методы Prometei и некоторые из его компонентов, скорее всего, будут обнаружены аналитиками информационной безопасности, активность большинства компонентов не сразу очевидна для конечных пользователей, что подчеркивает важность наличия в организациях средств, способных детектировать эти вредоносные операции.

«Рассмотренная угроза представляет большой риск для компаний, поскольку, располагая доступом к подконтрольным зараженным машинам, злоумышленники могут не только похищать конфиденциальную информацию в своих целях, но даже сотрудничать с вымогателями и другими киберпреступниками, продавая доступ к скомпрометированным сетям. Кроме того, майнинг криптовалют в сети компании может значительно повлиять на производительность и стабильность критически важного оборудования, что в конечном итоге скажется на непрерывности бизнеса», – комментирует руководитель центра мониторинга Angara Professional Assistance Максим Павлунин.

Благодаря возможностям бизнес-модели SECaaS, представители малого бизнеса, у которых, как правило, нет возможности содержать полноценную службу безопасности, могут защитить свои активы, не затрачивая ресурсы на развитие собственного центра обеспечения безопасности. Центр киберустойчивости ACRC предлагает доступное решение собственной разработки для мониторинга событий ИБ без потери эффективности. Опытные эксперты нашей команды SOC в удаленном формате готовы отслеживать подозрительную активность в системе заказчика, оперативно оповещая клиента о выявленных инцидентах ИБ.

Подробную информацию об услуге можно найти на нашем сайте в разделе « ACRC(SOC) », а также получить у менеджеров компании Angara Professional Assistance по e-mail info@angarapro.ru или телефону 8 (495) 269-26-06.
Alt text

Если вам нравится играть в опасную игру, присоединитесь к нам - мы научим вас правилам!

Подписаться

Angara Technologies Group

Корпоративный блог компании Angara Technologies Group