Всплеск активности ботнета Prometei: новые угрозы для систем майнинга и корпоративных сетей
Ботнет Prometei, впервые обнаруженный в июле 2020 года, вновь оказался в центре внимания специалистов по кибербезопасности. Благодаря своей версии для Linux, выявленной в декабре того же года, вредоносное ПО приобрело широкую известность за счет высокоэффективных схем добычи криптовалюты и кражи учетных данных. К марту 2025 года наблюдается значительный рост числа атак с использованием продвинутых версий Prometei, что требует от экспертов постоянного совершенствования методов защиты.
Модульная архитектура и особенности функционирования
Семейство вредоносных программ Prometei характеризуется высокой адаптивностью, которая достигается посредством модульной архитектуры. Каждый модуль выполняет узкоспециализированные задачи:
- интеллектуальный анализ данных;
- кража учетных данных;
- развертывание дополнительных вредоносных компонентов.
Основу коммуникации с командно-диспетчерским сервером (C2) составляет алгоритм генерации доменов (DGA), который динамически создает доменные имена. Это значительно затрудняет блокировку трафика, даже при деактивации отдельных доменов. Кроме того, встроенные возможности самообновления позволяют вредоносному ПО постоянно эволюционировать, обходя новые меры защиты.
Механизмы распространения и эксплуатация уязвимостей
Для проникновения и распространения внутри сетей Prometei использует широкий набор техник, включая:
- взлом учетных данных;
- эксплойт EternalBlue, связанный с известной программой-вымогателем WannaCry;
- уязвимости в протоколе блокировки серверных сообщений (SMB).
Такое сочетание делает Prometei особенно опасным инструментом киберпреступников, ориентированных на финансовую выгоду.
Новые методы распространения и обхода обнаружения
Последние варианты Prometei, впервые выявленные в марте 2025 года, распространяются через HTTP-запросы GET на определённые URL. Уникальным является использование динамических родительских идентификаторов, которые не только затрудняют определение источника заражения, но и облегчают проведение целевых атак на скомпрометированные системы.
Вредоносное ПО упаковано с применением UPX, что значительно уменьшает размер файла и усложняет анализ. При запуске происходит распаковка в памяти, что позволяет обойти статический анализ. Дополнительный файл конфигурации в формате JSON усложняет декомпрессию и снижает эффективность стандартных методов распаковки UPX.
Рекомендации по обнаружению и защите
Специалисты по кибербезопасности подчёркивают важность глубокого понимания структуры Prometei для эффективного обнаружения и нейтрализации угроз. Рекомендуется внедрение следующих мер:
- использование специальных правил YARA, нацеленных на характерные признаки упаковки UPX и конфигурации JSON;
- постоянный мониторинг активности сети и поведенческий анализ для выявления аномалий;
- адаптация защитных стратегий в ответ на изменяющиеся методы распространения и уклонения от обнаружения.
Prometei демонстрирует, что современные киберугрозы постоянно эволюционируют, и только активная оборона позволяет минимизировать их негативное воздействие на корпоративные и частные системы.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Анализ ботнета Prometei: адаптивные угрозы для Windows и Linux".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.