Ботнет Prometei использует SMB для майнинга криптовалюты

Ботнет Prometei использует SMB для майнинга криптовалюты

Prometei использует модульную систему и разнообразные методы для компрометации систем, сокрытия своего присутствия и майнинга.

image

Исследователи безопасности компании Cisco Talos сообщили о новом ботнете, использующем протокол Microsoft Windows SMB для распространения в корпоративных сетях майнера криптовалюты.

Ботнет Prometei начал активность в марте 2020 года и привлек внимание ИБ-экспертов, поскольку использует модульную систему и разнообразные методы для компрометации систем, сокрытия своего присутствия и добычи криптовалюты Monero (XMR).

Атака начинается с компрометации протокола Windows Server Message Block (SMB) через уязвимости, в частности Eternal Blue. С помощью инструмента Mimikatz и брутфорс-атак злоумышленники находят в корпоративной сети учетные данные, которые затем отправляются на C&C-сервер для повторного использования модулями, предназначенными для проверки действительности паролей в других системах, использующих протоколы SMB и RDP.

В общей сложности ботнет насчитывает более 15 исполняемых модулей, контролируемых главным модулем. Prometei состоит из двух ветвей – ответственной за майнинг криптовалюты ветки C++ и ветки на базе .NET, занимающейся похищением учетных данных, эксплуатацией протокола SMB и обфускацией. Основная ветка может работать без дополнительной и самостоятельно подключаться к C&C-серверу, похищать учетные данные и добывать криптовалюту.

По данным Cisco Talos, в настоящее время ботнет состоит менее чем из ста инфицированных устройств. Так как Prometei начал работать недавно, в среднем в месяц он приносит своим операторам только $1250. Хотя сумма сравнительно небольшая, для «одного разработчика из Восточной Европы это больше, чем средняя зарплата во многих странах», считают исследователи.

Подключающиеся к C&C-серверу Prometei инфицированные системы находятся в Бразилии, США, Турции, Китае и Мексике. Один из C&C-серверов был изъят в июне нынешнего года, однако это никак не сказалось на его операциях.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.