Siber güvenlik araştırmacıları, kripto para madenciliği ve kimlik bilgisi hırsızlığı için Linux sunucularını hedefleyen sofistike bir kötü amaçlı yazılım işlemi olan Prometei Botnet’in önemli bir yeniden canlanmasını ortaya çıkardılar.
Mart 2025’ten beri gözlemlenen bu son kampanya, kriptominasyon kötü amaçlı yazılımının gelişen doğasını ve dünya çapında işletme altyapısı için kalıcı tehdidini göstermektedir.
Prometei botnet, hem Linux hem de Windows varyantlarını kapsayan çift tehditli bir kötü amaçlı yazılım ailesini temsil eder, öncelikle Monero Cryptourrency madenciliği için hesaplama kaynaklarını ele almak için tasarlanırken, aynı zamanda uzlaşmış sistemlerden kimlik bilgilerini çalır.
.png
)
Palo Alto Networks analistleri, Mart 2025’te bu yeni saldırı dalgasını belirledi ve kötü amaçlı yazılımların gizli yeteneklerinde ve operasyonel sofistike olarak önceki yinelemelere kıyasla önemli gelişmeler kaydetti.
BOTNET, saldırganların enfekte olmuş sistemleri uzaktan kontrol etmesini, ek yükleri dağıtmasını ve tehlikeye atılan ağlara kalıcı erişimi sürdürmesini sağlayan modüler bir mimari aracılığıyla çalışır.
Başlangıçta Temmuz 2020’de Windows varyantının ilk önceliğini almasıyla keşfedilen Linux versiyonu Aralık 2020’de ortaya çıktı ve o zamandan beri sürekli gelişime geçti.
Kötü amaçlı yazılım, kaba-kuvvet kimlik bilgisi saldırıları, WannaCry fidye yazılımıyla ilişkili kötü şöhretli ebedi blue güvenlik açığının kullanılması ve hedef ağlarda yanal hareket elde etmek için sunucu mesaj bloğu protokolü güvenlik açıklarının manipülasyonu gibi birden fazla saldırı vektörü kullanır.
Bu çok yönlü yaklaşım, Prometei’nin bir kuruluşun sistemlerine ilk erişimi kazandığında ayak izini hızla genişletmesine izin verir.
Prometei operasyonlarının arkasındaki finansal motivasyon açık görünüyor, araştırmacılar botnet’i ulus devlet aktörlerine bağlayan hiçbir kanıt bulamıyor.
Bunun yerine, kampanya, yeraltı pazarlarında potansiyel ikincil sömürü veya satış için fırsatçı olarak değerli kimlik bilgilerini hasat ederken, kripto para madenciliği yoluyla uzlaşmış altyapıdan para kazanmak isteyen kâr odaklı siber suçlu işletmelerle tutarlı özellikler göstermektedir.
Mevcut yineleme, komuta ve kontrol altyapısı esnekliği ve kötü amaçlı yazılımların güvenlik savunmalarına dinamik olarak uyum sağlamasını sağlayan kendi kendine güncelleme yetenekleri için bir alan üretimi algoritması dahil gelişmiş kaçaklama tekniklerini içerir.
Bu gelişmeler tespit ve hafifletmeyi geleneksel güvenlik çözümleri için önemli ölçüde daha zor hale getirir.
Teknik enfeksiyon mekanizması ve dağılım
En son Prometei varyantları, analiz çabalarını önemli ölçüde karmaşıklaştıran sofistike dağılım ve paket açma mekanizmaları kullanır.
Kötü amaçlı yazılım, HTTP Alma istekleri aracılığıyla kendisini dağıtır. hxxp[://]103.41.204[.]104/k.php?a=x86_64parametre yoluyla dinamik parentID atamasına izin veren varyasyonlarla hxxp[://]103.41.204[.]104/k.php?a=x86_64,.
.webp)
Yanıltıcı olmasına rağmen .php Dosya adı, yük, özel olarak Linux sistemleri için tasarlanmış ve kasıtlı bir şaşkınlık taktiğini temsil eden 64 bit ELF yürütülebilir dosyadan oluşur.
Kötü amaçlı yazılım, dosya boyutunu azaltmak ve statik analiz prosedürlerini karmaşıklaştırmak için yürütülebilir ürünler (UPX) sıkıştırması için Ultimate Packer kullanır.
Bununla birlikte, uygulama standart UPX dekompresyon araçlarının doğru çalışmasını önleyen kritik bir değişiklik içerir.
Geliştiriciler, paketlenmiş yürütülebilir dosyaya özel bir yapılandırma JSON fragmanı ekler ve UPX aracının başarılı bir dekompresyon için gerekli olan Packheader ve Overlay_offset fragmanı dahil temel meta verileri bulma yeteneğini bozar.
Bu yapılandırma fragmanı, kötü amaçlı yazılım sürümleri arasında değişen temel operasyonel parametreler içerir. İkinci sürüm, gibi temel alanları desteklerken config– idVe enckeyüç ve dördüncü sürümler dahil olmak üzere ek parametreler içerir. ParentId– ParentHostname– ParentIpVe ip tarlalar.
Bu geliştirmeler, daha karmaşık komut ve kontrol iletişimi ve hiyerarşik botnet yönetim yeteneklerini mümkün kılar.
Başarılı bir şekilde konuşlandırıldıktan sonra Prometei, işlemci bilgilerini toplayarak kapsamlı sistem keşiflerini uygular. /proc/cpuinfoanakart detayları dmidecode --type baseboard komutlar, işletim sistemi özellikleri /etc/os-release veya /etc/redhat-releasesistem çalışma süresi verileri ve çekirdek bilgileri uname -a komutlar.
Bu istihbarat toplama, kötü amaçlı yazılımların madencilik operasyonlarını mevcut donanım kaynaklarına göre optimize etmesini sağlarken, saldırganlara potansiyel yanal hareket faaliyetleri için ayrıntılı altyapı eşlemesi sağlar.
Are you from SOC/DFIR Teams! - Interact with malware in the sandbox and find related IOCs. - Request 14-day free trial