Ünite 42 Palo Alto Networks’ten araştırmacılar, Prometei Botnet tarafından Mart 2025 itibariyle özellikle Linux sunucularını hedefleyen yenilenmiş bir saldırı dalgası tespit ettiler.
Başlangıçta Temmuz 2020’de Windows Systems’a odaklanan Prometei o zamandan beri gelişti ve Linux varyantı Aralık 2020’den bu yana önem kazandı.
Kalıcı bir tehdidin yeniden canlanması
En son yinelemeler, üç ve dördüncü sürümler, uzaktan kumanda için bir arka kapı, etki alanı üretim algoritmaları (DGA), dayanıklı komut ve kontrol (C2) altyapısı için ve tespiti ortadan kaldırmak için kendi kendini yukarı kaldırma mekanizmaları dahil olmak üzere gelişmiş yetenekleri sergiliyor.
.png
)
Bu yeniden canlanma, Prometei’nin dünya çapındaki kuruluşlar için kalıcı tehdidin altını çiziyor ve birincil amacı, kripto para madenciliği, özellikle Monero, kimlik hırsızlığı ve ek yük dağıtım gibi ikincil hedeflerin yanı sıra.
Prometei’nin mimarisi, bağımsız bileşenlerin kaba zorlama kimlik bilgileri gibi belirli kötü amaçlı görevleri ele almasına, ebediblue ve sunucu mesaj bloğu (SMB) kusurları, madencilik kripto para birimi ve C2 iletişiminin korunması gibi belirli kötü amaçlı görevleri ele almasına izin verir.
HXXP: //103.41.204 gibi sunuculardan HTTP GET istekleri aracılığıyla dağıtılır[.]104/k.php, kötü amaçlı yazılım, Linux sistemleri için tasarlanmış 64 bit yürütülebilir ve bağlantılı bir format (ELF) üzerinde çalışır.
Son sürümlerde, gerçek doğasını maskelemek için “K.php” gibi sözleşmeleri adlandırarak daha fazla gizlenmiş olan dosya boyutunu azaltmak ve statik analizi karmaşıklaştırmak için yürütülebilir ürünler için Ultimate Packer (UPX) sıkıştırması kullanır.
Teknik sofistike
Kötü amaçlı yazılım, yükünü yürütmek için çalışma zamanında bellekte açılırken, ParentID ve şifreleme tuşları gibi alanlar içeren özel bir JSON yapılandırma fragmanı, analiz için özel ambalajlama gerektiren başka bir karmaşıklık katmanı ekler.
Prometei ayrıca, HXXP: //152.36.128 gibi C2 sunucularına aktarılan işlemci detayları, işletim sistemi verileri ve çalışma süresi istatistikleri dahil olmak üzere uzlaşmış ana bilgisayarlardan kapsamlı sistem bilgilerini toplar.[.]18/CGI-BIN/P.CGI.
Bu uyarlanabilirlik, DGA ve kendi kendine güncelleme özellikleri ile birleştiğinde, saldırganlarla kalıcı iletişim ve güvenlik karşı önlemlerine karşı sürekli evrim sağlar, bu da onu müthiş bir düşman haline getirir.
Rapora göre, Palo Alto Networks, gelişmiş orman yangını, Cortex XDR ve gelişmiş tehdit önleme gibi çözümler aracılığıyla güçlü bir koruma sunuyor, bu da bu tehditleri gerçek zamanlı olarak tespit etmek ve hafifletmek için makine öğrenimini kaldırırken, birim 42 olay müdahale ekibi tehlikeye atılmış varlıklara yardımcı olmaya hazır duruyor.
Mart’tan Nisan 2025’e kadar izlenen bu son Prometei faaliyet dalgası, siber güvenlik manzarasında bu tür gelişen tehditlerle mücadele etmek için artan uyanıklık ve proaktif savunma stratejileri ihtiyacını vurgulamaktadır.
Uzlaşma Göstergeleri (IOCS)
Aşağıdaki tablo, referans ve algılama amacıyla Prometei BotNet ile ilişkili temel IOC’leri özetlemektedir:
| Tip | Detaylar |
|---|---|
| Kötü amaçlı yazılım örnekleri (SHA-256 karma) | v2.87x: 46cf7d7440c30cbfd101dd396b18dc3e0b9fe475b80c4545868aab5c578c V3.05l: cc7ab872d9c25d4346b4c58c5ef8ea48c2d7b256f20fe2f0912572208df5c1a V4.02V: Çoklu karma (tam raporda detaylar) |
| URL’ler (kötü amaçlı yazılım dağıtımı) | hxxp: //103.41.204[.]104/k.php |
| URL’ler (C2 İletişimi) | hxxp: //152.36.128[.]18/CGI-BIN/P.CGI |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin