Prometei использует модульную систему и разнообразные методы для компрометации систем, сокрытия своего присутствия и майнинга.
Исследователи безопасности компании Cisco Talos сообщили о новом ботнете, использующем протокол Microsoft Windows SMB для распространения в корпоративных сетях майнера криптовалюты.
Ботнет Prometei начал активность в марте 2020 года и привлек внимание ИБ-экспертов, поскольку использует модульную систему и разнообразные методы для компрометации систем, сокрытия своего присутствия и добычи криптовалюты Monero (XMR).
Атака начинается с компрометации протокола Windows Server Message Block (SMB) через уязвимости, в частности Eternal Blue. С помощью инструмента Mimikatz и брутфорс-атак злоумышленники находят в корпоративной сети учетные данные, которые затем отправляются на C&C-сервер для повторного использования модулями, предназначенными для проверки действительности паролей в других системах, использующих протоколы SMB и RDP.
В общей сложности ботнет насчитывает более 15 исполняемых модулей, контролируемых главным модулем. Prometei состоит из двух ветвей – ответственной за майнинг криптовалюты ветки C++ и ветки на базе .NET, занимающейся похищением учетных данных, эксплуатацией протокола SMB и обфускацией. Основная ветка может работать без дополнительной и самостоятельно подключаться к C&C-серверу, похищать учетные данные и добывать криптовалюту.
По данным Cisco Talos, в настоящее время ботнет состоит менее чем из ста инфицированных устройств. Так как Prometei начал работать недавно, в среднем в месяц он приносит своим операторам только $1250. Хотя сумма сравнительно небольшая, для «одного разработчика из Восточной Европы это больше, чем средняя зарплата во многих странах», считают исследователи.
Подключающиеся к C&C-серверу Prometei инфицированные системы находятся в Бразилии, США, Турции, Китае и Мексике. Один из C&C-серверов был изъят в июне нынешнего года, однако это никак не сказалось на его операциях.