Ботнет Prometei использует SMB для майнинга криптовалюты

Ботнет Prometei использует SMB для майнинга криптовалюты

Prometei использует модульную систему и разнообразные методы для компрометации систем, сокрытия своего присутствия и майнинга.

Исследователи безопасности компании Cisco Talos сообщили о новом ботнете, использующем протокол Microsoft Windows SMB для распространения в корпоративных сетях майнера криптовалюты.

Ботнет Prometei начал активность в марте 2020 года и привлек внимание ИБ-экспертов, поскольку использует модульную систему и разнообразные методы для компрометации систем, сокрытия своего присутствия и добычи криптовалюты Monero (XMR).

Атака начинается с компрометации протокола Windows Server Message Block (SMB) через уязвимости, в частности Eternal Blue. С помощью инструмента Mimikatz и брутфорс-атак злоумышленники находят в корпоративной сети учетные данные, которые затем отправляются на C&C-сервер для повторного использования модулями, предназначенными для проверки действительности паролей в других системах, использующих протоколы SMB и RDP.

В общей сложности ботнет насчитывает более 15 исполняемых модулей, контролируемых главным модулем. Prometei состоит из двух ветвей – ответственной за майнинг криптовалюты ветки C++ и ветки на базе .NET, занимающейся похищением учетных данных, эксплуатацией протокола SMB и обфускацией. Основная ветка может работать без дополнительной и самостоятельно подключаться к C&C-серверу, похищать учетные данные и добывать криптовалюту.

По данным Cisco Talos, в настоящее время ботнет состоит менее чем из ста инфицированных устройств. Так как Prometei начал работать недавно, в среднем в месяц он приносит своим операторам только $1250. Хотя сумма сравнительно небольшая, для «одного разработчика из Восточной Европы это больше, чем средняя зарплата во многих странах», считают исследователи.

Подключающиеся к C&C-серверу Prometei инфицированные системы находятся в Бразилии, США, Турции, Китае и Мексике. Один из C&C-серверов был изъят в июне нынешнего года, однако это никак не сказалось на его операциях.


Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!