adlı bir botnet kötü amaçlı yazılımının güncellenmiş bir sürümü Prometei Kasım 2022’den bu yana dünya çapında 10.000’den fazla sisteme bulaştı.
Enfeksiyonlar hem coğrafi olarak gelişigüzel hem de fırsatçıdır ve kurbanların çoğu Brezilya, Endonezya ve Türkiye’de bildirilmiştir.
İlk olarak 2016’da gözlemlenen Prometei, geniş bir bileşen repertuarı ve bazıları ProxyLogon Microsoft Exchange Server kusurlarının istismarını da içeren birkaç çoğaltma yöntemi içeren modüler bir botnet’tir.
Operasyonun arkasındaki tehdit aktörlerinin muhtemelen Rusya’da yerleşik olduğunu öne sürerek Rusya’yı vurmaktan kaçınması da dikkate değer.
Platformlar arası botnet’in motivasyonları finansaldır, öncelikle kripto para madenciliği yapmak ve kimlik bilgilerini toplamak için virüslü ana bilgisayar havuzunu kullanır.
Cisco Talos, The Hacker News ile paylaştığı bir raporda, Prometei’nin en yeni varyantının (v3 olarak adlandırılır) adli analize meydan okumak ve kurban makinelere erişimini daha da genişletmek için mevcut özelliklerini geliştirdiğini söyledi.
Saldırı dizisi şu şekilde ilerler: Başarılı bir dayanak noktası elde edildikten sonra, uzak bir sunucudan botnet yükünü indirmek için bir PowerShell komutu yürütülür. Prometei’nin ana modülü daha sonra gerçek kripto madenciliği yükünü ve sistemdeki diğer yardımcı bileşenleri almak için kullanılır.
Bu destek modüllerinden bazıları, kötü amaçlı yazılımı Uzak Masaüstü Protokolü (RDP), Güvenli Kabuk (SSH) ve Sunucu İleti Bloğu (SMB) aracılığıyla yaymak için tasarlanmış yayıcı programlar olarak işlev görür.
Üçüncü Taraf SaaS Uygulamalarının Gizli Tehlikelerini Keşfedin
Şirketinizin SaaS uygulamalarına üçüncü taraf uygulama erişimiyle ilişkili risklerin farkında mısınız? Verilen izin türleri ve riskin nasıl en aza indirileceği hakkında bilgi edinmek için web seminerimize katılın.
KOLTUĞUNUZU AYIRTIN
Prometei v3, komuta ve kontrol (C2) altyapısını oluşturmak için bir etki alanı oluşturma algoritması (DGA) kullanması açısından da dikkat çekicidir. Ayrıca, hassas verileri toplamak ve ana bilgisayara komuta etmek için bir kendi kendine güncelleme mekanizması ve genişletilmiş bir komut seti içerir.
Son olarak, kötü amaçlı yazılım, Base64 kodlu komutları yürütebilen ve dosya yüklemeleri gerçekleştirebilen PHP tabanlı bir web kabuğuyla birlikte gelen bir Apache web sunucusunu dağıtır.
“Bu son eklenen yeni yetenekler [indicates] Talos araştırmacıları Andrew Windsor ve Vanja Svajcer, Prometei operatörlerinin sürekli olarak botnet’i güncellediğini ve işlevsellik eklediğini söyledi.