8 yıllık modüler bir botnet hâlâ çalışıyor ve birçok kıtaya yayılmış makinelere kripto hırsızlığı ve Web kabuğu yayıyor.
“Prometei” ilk olarak 2020’de keşfedildi, ancak daha sonra ortaya çıkan kanıtlar onun en az 2016’dan beri ortalıkta olduğunu gösterdi. Aradan geçen yıllarda Brezilya, Endonezya, Türkiye ve Almanya gibi çok çeşitli ülkelerde dünya çapında 10.000’den fazla bilgisayara yayıldı. Federal Bilgi Güvenliği Dairesi bunu şu şekilde sınıflandırır: orta etkili bir tehdit.
Critical Start’ın siber tehdit araştırmalarından sorumlu kıdemli yöneticisi Callie Guenther, “Prometei’nin erişimi, yaygın olarak kullanılan yazılım açıklarına odaklanması nedeniyle küreseldir” diye açıklıyor. “Botnet, zayıf konfigürasyonlar ve yama yapılmamış sistemler aracılığıyla yayılıyor ve yetersiz siber güvenlik uygulamalarına sahip bölgeleri hedefliyor. Prometei gibi botnet’ler genellikle bölgeye göre ayrım yapmıyor ancak sistemik zayıflıklardan yararlanarak maksimum etkiyi arıyor. [In this case]yama yapılmamış veya kötü yapılandırılmış Exchange sunucuları kullanan kuruluşlar özellikle risk altındadır.”
Trend Micro ayrıntıları Prometei saldırısı neye benziyor: İlk bulaşmasında hantal, ancak daha sonra sinsi, çeşitli farklı hizmet ve sistemlerdeki güvenlik açıklarından yararlanabilen ve cryptojacking’e odaklanmış ancak daha fazlasını yapabilen.
Sevilmeyen Sistemlere Yüksek Sesle Giriş
İlk Prometei enfeksiyonunun son derece karmaşık olmasını beklemeyin.
Trend Micro’nun gözlemlediği vaka, Güney Afrika’nın Cape Town şehrinden geliyor gibi görünen ve bilinen Prometei altyapısıyla yakından uyumlu olan iki IP adresinden yapılan bir dizi başarısız ağ oturum açma girişimiyle başladı.
Kötü amaçlı yazılım, bir makineye ilk başarılı girişinden sonra, hedefinin ortamında hâlâ mevcut olabilecek çeşitli güncel olmayan güvenlik açıklarını test etmek için çalışmaya başladı. Örneğin, yarım on yıllık eskiyi kullanıyor “BlueKeepUzaktan kod yürütmeyi (RCE) denemek ve başarmak için Uzak Masaüstü Protokolünde (RDP) hata — Ortak Güvenlik Açığı Puanlama Sisteminde 10 üzerinden “kritik” olarak 9,8 olarak derecelendirildi — uzaktan kod yürütmeyi (RCE) denemek ve başarmak için. Daha da eski olanı kullanıyor EbediMavi Sunucu İleti Bloğu (SMB) aracılığıyla yayılmaya yönelik güvenlik açığı. Windows sistemlerinde 3 yaşındaki çocuğu dener ProxyOturum Açma “yüksek” 7,8 CVSS derecelendirmesine sahip CVE-2021-27065 ve CVE-2021-26858 rastgele dosya yazma güvenlik açıkları.
Bu tür eski güvenlik açıklarından yararlanmak tembellik olarak okunabilir. Başka bir açıdan bakıldığında bu, daha aktif kuruluşlara ait daha donanımlı sistemlerin ayıklanması için etkili bir yaklaşımdır.
Qualys’in güvenlik araştırması müdürü Mayuresh Dani, “Ana hedefler, herhangi bir nedenden dolayı yama yapılmamış veya yamalanamayan sistemlerdir; bu da onların ya izlenmediği ya da normal güvenlik süreçlerinde ihmal edildiği anlamına gelir,” diye belirtiyor. “Kötü amaçlı yazılım yazarları kolay seçimlerin peşinden gitmek istiyor ve günümüzün bağlantılı dünyasında, sanki hedeflerinin birden fazla güvenlik sorunuyla karşı karşıya kalacağını biliyorlarmış gibi bunu akıllıca buluyorum.”
Prometei’nin Ateşi
Prometei gitmek istediği yere ulaştığında, amaçlarına ulaşmak için bazı güzel hileleri vardır. Komuta ve kontrol (C2) altyapısını güçlendirmek için bir etki alanı oluşturma algoritması (DGA) kullanıyor ve kurbanlar bir veya daha fazla etki alanını engellemeye çalışsa bile çalışmaya devam etmesini sağlıyor. Hedeflenen sistemleri, trafiğinin güvenlik duvarları üzerinden geçmesine izin verecek şekilde yönlendirir ve sistem yeniden başlatıldığında otomatik olarak çalışır.
Özellikle kullanışlı bir Prometei komutu, parolaları bellekte düz metin olarak saklayan WDigest kimlik doğrulama protokolünü harekete geçirir. WDigest genellikle modern Windows sistemlerinde devre dışı bırakılır, bu nedenle Prometei bu düz metin şifrelerini zorlar ve daha sonra bunları bir dinamik bağlantı kitaplığına (DLL) aktarır. Ardından başka bir Prometei komutu, Windows Defender’ı söz konusu DLL’yi yok sayacak şekilde yapılandırır ve bu parolaların herhangi bir kırmızı bayrak ortaya çıkmadan dışarı sızmasına olanak tanır.
Prometei enfeksiyonunun en belirgin amacı, sahiplerinin haberi olmadan ultra anonim Monero kripto para biriminin çıkarılmasına yardımcı olmak için virüslü makinelerin kullanılması anlamına gelen kripto hırsızlığı gibi görünüyor. Bunun ötesinde, kalıcı bir Web kabuğu görevi gören bir Apache Web sunucusunu indirir ve yapılandırır. Web kabuğu, saldırganların daha fazla kötü amaçlı dosya yüklemesine ve rastgele komutlar yürütmesine olanak tanır.
Trend Micro’nun kıdemli tehdit araştırmacısı Stephen Hilt’in belirttiği gibi, botnet enfeksiyonları genellikle başka tür saldırılarla da ilişkilidir.
“Kripto madencilik gruplarının her zaman kömür madenindeki kanaryalar olduğunu görüyorum; bu, sisteminizde muhtemelen daha fazlasının olup bittiğinin bir göstergesi” diyor. “Eğer bakarsanız 2021 blogumuzbir fidye yazılımı grubu olan LemonDuck vardı ve [Prometei] hepsi aynı makinelerde.”
Rusya Bağlantıları
Dünyanın Prometei’nin dokunmadığı belirli bir kısmı var.
Botnet’in Tor tabanlı C2 sunucusu, bazı eski Sovyet ülkelerindeki belirli çıkış düğümlerinden kaçınmak için özel olarak yapılmıştır. Rusça dildeki hedeflerin güvenliğini daha da sağlamak için, Rusça “Misafir” veya “Diğer kullanıcı” olarak etiketlenen hesapların etkilenmesini kasıtlı olarak önleyen bir kimlik bilgisi çalma bileşenine sahiptir.
Kötü amaçlı yazılımın eski versiyonları, Rusça dil ayarları ve dil kodu parçaları içeriyordu ve “Prometei” adı, “Prometheus”un çeşitli Slav dillerindeki çevirisiydi. Ünlü efsanede Zeus, Prometheus’un karaciğerine her gün saldırması için bir kartal programlar, ancak karaciğer her gece yeniden başlatılarak varlığını sürdürür.