Cybernews

Cyberekspert

Kampanie

Sklep

Menu dostępności

Botnet Prometei w nowej kampanii wykorzystującej podatności Microsoft Exchange

Kapitan Hack / Cybernews / Botnet Prometei w nowej kampanii wykorzystującej podatności Microsoft Exchange

Organizacja Cybereason ogłosiła odkrycie szeroko zakrojonej, globalnej kampanii botnetu Prometei. Jej celem są rozbudowane organizacje, gdzie po wieloetapowym ataku ładunek zaszyty w środowisku służy do kradzieży mocy obliczeniowej i wydobywania krytpowalut. Grupa stojąca za atakami, która wydaję się być rosyjskojęzyczna, wykorzystuje ujawnione wcześniej luki w Microsoft Exchange wykorzystywane w atakach grupy Hafnium do penetracji sieci.

O samym botnecie Prometei pisaliśmy już w lipcu 2020 roku. Wtedy został po raz pierwszy zauważony w sieci. Ma złożoną infrastrukturę zaprojektowaną w celu „utwardzenia” na zainfekowanych maszynach. Cybereason szacuje, że działalność botnetu faktycznie sięga co najmniej 2016r, czyli rok przed atakami złośliwego oprogramowania WannaCry i NotPetya. Prometei nadal ewoluuje, regularnie dodając nowe boty, nowe funkcje i innowacyjne narzędzia ataku.

Botnet Prometei stwarza duże ryzyko dla firm, ponieważ jego aktywność w ostatnim czasie była lekceważona i pomijana w raportach. Kiedy operatorzy botnetu przejmują kontrolę nad zainfekowanymi maszynami, są w stanie nie tylko wydobywać bitcoiny poprzez kradzież mocy obliczeniowej, ale także mogą wydobywać poufne informacje. Jeśli chcą, to mogą również zainfekować punkty końcowe zarażone już innym złośliwym oprogramowaniem i współpracować z gangami ransomware w celu sprzedaży dostępu do punktów końcowych. Co gorsza, wydobywanie kryptowalut wyczerpuje cenną moc obliczeniową sieci, negatywnie wpływając na operacje biznesowe oraz wydajność i stabilność krytycznych serwerów. Jest to zdecydowanie szerokie spektrum zagrożeń.

Badania przeprowadzone nad Prometei przez Cybereason doprowadziły do następujących, wniosków:

Autor: 4 min czytania
  • Szeroka gama ofiar: Ofiary obserwowano w różnych branżach, w tym w finansach, ubezpieczeniach, handlu detalicznym, produkcji, usługach komunalnych, podróżach i budownictwie. Zainfekowane firmy mają siedziby w krajach na całym świecie, w tym w Stanach Zjednoczonych, Wielkiej Brytanii, Niemczech, Francji, Hiszpanii, Włoszech i innych krajach europejskich, Ameryce Południowej i Azji Wschodniej.
  • Aktor mówiący po rosyjsku: Cyberprzestępca komunikujący się czasem z ofiarami wydaje się mówić po rosyjsku i celowo unika infekcji w krajach byłego bloku wschodniego.
  • Wykorzystywanie luk w zabezpieczeniach SMB i RDP: Głównym celem Prometei jest zainstalowanie koparki kryptowaluty Monero na korporacyjnych punktach końcowych. Aby rozprzestrzeniać się w sieci, hacker wykorzystuje znane luki w oprogramowaniu Microsoft Exchange, ale też znane exploity EternalBlue i BlueKeep.
  • Zagrożenie międzyplatformowe: Prometei posiada wersje oparte na systemie Windows i Linux-Unix przez co dostosowuje swój ładunek w oparciu o wykryty system operacyjny na docelowych maszynach podczas rozprzestrzeniania się w sieci.
  • Cyberprzestępczość APT: Cybereason ocenia, że operatorzy botnetu Prometei są zmotywowani finansowo i zamierzają wygenerować ogromne sumy w kryptowalucie, ale prawdopodobnie nie są wspierani przez żadne państwo.
  • Odporna infrastruktura C2: Prometei jest zaprojektowany do interakcji z czterema różnymi serwerami C2, co wzmacnia infrastrukturę botnetu i utrzymuje ciągłą komunikację, czyniąc go bardziej odpornym na usunięcie.

Zaleceniami dla rozległych organizacji o potężnej infrastrukturze sprzętowej jest na pewno sprawdzenie podatności na luki w MS Exchange, a także EternalBlue i BlueKeep. Botnet Prometei automatycznie sprawdza podatności w infrastrukturze i błyskawicznie przemieszcza się pod sieci infekując kolejne punkty końcowe, a także serwery.

Jeśli chcecie się dowiedzieć o samym technicznym działaniu botnetu zapraszamy do naszego wcześniejszego artykułu.

Popularne

Jak zmienić nieznane/zapomniane hasło Administratora na Windows?

Jak zmienić nieznane/zapomniane hasło Administratora na Windows?

W tym artykule pokażemy, jak możemy zmienić hasło administratora na komputerze posiadając do niego fizyczny dostęp. Artykuł ten można potraktować także jako przestrogę dla firm, które nie zaimplementowały jeszcze odpo...
5 min czytania 5 cze 2019 08:00
Podatność w 7-Zipie umożliwia zdalnym atakującym ominięcie zabezpieczeń i wykonanie dowolnego kodu

Podatność w 7-Zipie umożliwia zdalnym atakującym ominięcie zabezpieczeń i wykonanie dowolnego kodu

Odkryto groźną lukę w oprogramowaniu 7-Zip, pozwalającą zdalnym atakującym na obejście mechanizmu ochrony Windows i w rezultacie wykonanie dowolnego kodu na komputerze. Informacje o CVE-2025-0411 Odkrycie luki i...
4 min czytania 24 sty 2025 08:00
Jak kompletnie zniszczyć praktycznie każde urządzenie? Przedstawiamy USB Killer

Jak kompletnie zniszczyć praktycznie każde urządzenie? Przedstawiamy USB Killer

Czy jest coś bardziej wszechobecnego w świecie komputerów osobistych niż pamięć USB? Naszym zdaniem nie. Chodź nie wszędzie znajdziemy popularny port USB, to jednak ratujemy się różnego rodzaju przejściów...
6 min czytania 20 cze 2019 15:43
Jak uzyskać pełny dostęp do Windows? Tworzymy backdoor i uruchamiamy wiersz linii poleceń przed ekranem logowania na koncie SYSTEM

Jak uzyskać pełny dostęp do Windows? Tworzymy backdoor i uruchamiamy wiersz linii poleceń przed ekranem logowania na koncie SYSTEM

W dzisiejszym odcinku hakowania pokażemy stary i sprawdzony, choć nieco zmodyfikowany sposób na przejęcie pełnej kontroli w Windows i to jeszcze przed zalogowaniem się do systemu (na ekranie powitalnym). Za je...
7 min czytania 27 mar 2023 06:52
Najpopularniejsze techniki malware w 2024 roku

Najpopularniejsze techniki malware w 2024 roku

Taktyki, techniki i procedury (TTP) stanowią podstawę nowoczesnych strategii obronnych. W przeciwieństwie do IOC TTP są bardziej ustandaryzowane, co czyni je niezawodnym sposobem identyfikacji konkretnych zag...
7 min czytania 8 lis 2024 07:57
Popularne
Jak zmienić nieznane/zapomniane hasło Administratora na Windows?
Podatność w 7-Zipie umożliwia zdalnym atakującym ominięcie zabezpieczeń i wykonanie dowolnego kodu
Jak kompletnie zniszczyć praktycznie każde urządzenie? Przedstawiamy USB Killer
Jak uzyskać pełny dostęp do Windows? Tworzymy backdoor i uruchamiamy wiersz linii poleceń przed ekranem logowania na koncie SYSTEM
Najpopularniejsze techniki malware w 2024 roku
Appeal

Ta strona korzysta z ciasteczek aby świadczyć usługi na najwyższym poziomie. Dalsze korzystanie ze strony oznacza, że zgadzasz się na ich użycie.