Botnet Prometei w nowej kampanii wykorzystującej podatności Microsoft Exchange
Organizacja Cybereason ogłosiła odkrycie szeroko zakrojonej, globalnej kampanii botnetu Prometei. Jej celem są rozbudowane organizacje, gdzie po wieloetapowym ataku ładunek zaszyty w środowisku służy do kradzieży mocy obliczeniowej i wydobywania krytpowalut. Grupa stojąca za atakami, która wydaję się być rosyjskojęzyczna, wykorzystuje ujawnione wcześniej luki w Microsoft Exchange wykorzystywane w atakach grupy Hafnium do penetracji sieci.
O samym botnecie Prometei pisaliśmy już w lipcu 2020 roku. Wtedy został po raz pierwszy zauważony w sieci. Ma złożoną infrastrukturę zaprojektowaną w celu „utwardzenia” na zainfekowanych maszynach. Cybereason szacuje, że działalność botnetu faktycznie sięga co najmniej 2016r, czyli rok przed atakami złośliwego oprogramowania WannaCry i NotPetya. Prometei nadal ewoluuje, regularnie dodając nowe boty, nowe funkcje i innowacyjne narzędzia ataku.
Botnet Prometei stwarza duże ryzyko dla firm, ponieważ jego aktywność w ostatnim czasie była lekceważona i pomijana w raportach. Kiedy operatorzy botnetu przejmują kontrolę nad zainfekowanymi maszynami, są w stanie nie tylko wydobywać bitcoiny poprzez kradzież mocy obliczeniowej, ale także mogą wydobywać poufne informacje. Jeśli chcą, to mogą również zainfekować punkty końcowe zarażone już innym złośliwym oprogramowaniem i współpracować z gangami ransomware w celu sprzedaży dostępu do punktów końcowych. Co gorsza, wydobywanie kryptowalut wyczerpuje cenną moc obliczeniową sieci, negatywnie wpływając na operacje biznesowe oraz wydajność i stabilność krytycznych serwerów. Jest to zdecydowanie szerokie spektrum zagrożeń.
Badania przeprowadzone nad Prometei przez Cybereason doprowadziły do następujących, wniosków:
- Szeroka gama ofiar: Ofiary obserwowano w różnych branżach, w tym w finansach, ubezpieczeniach, handlu detalicznym, produkcji, usługach komunalnych, podróżach i budownictwie. Zainfekowane firmy mają siedziby w krajach na całym świecie, w tym w Stanach Zjednoczonych, Wielkiej Brytanii, Niemczech, Francji, Hiszpanii, Włoszech i innych krajach europejskich, Ameryce Południowej i Azji Wschodniej.
- Aktor mówiący po rosyjsku: Cyberprzestępca komunikujący się czasem z ofiarami wydaje się mówić po rosyjsku i celowo unika infekcji w krajach byłego bloku wschodniego.
- Wykorzystywanie luk w zabezpieczeniach SMB i RDP: Głównym celem Prometei jest zainstalowanie koparki kryptowaluty Monero na korporacyjnych punktach końcowych. Aby rozprzestrzeniać się w sieci, hacker wykorzystuje znane luki w oprogramowaniu Microsoft Exchange, ale też znane exploity EternalBlue i BlueKeep.
- Zagrożenie międzyplatformowe: Prometei posiada wersje oparte na systemie Windows i Linux-Unix przez co dostosowuje swój ładunek w oparciu o wykryty system operacyjny na docelowych maszynach podczas rozprzestrzeniania się w sieci.
- Cyberprzestępczość APT: Cybereason ocenia, że operatorzy botnetu Prometei są zmotywowani finansowo i zamierzają wygenerować ogromne sumy w kryptowalucie, ale prawdopodobnie nie są wspierani przez żadne państwo.
- Odporna infrastruktura C2: Prometei jest zaprojektowany do interakcji z czterema różnymi serwerami C2, co wzmacnia infrastrukturę botnetu i utrzymuje ciągłą komunikację, czyniąc go bardziej odpornym na usunięcie.
Zaleceniami dla rozległych organizacji o potężnej infrastrukturze sprzętowej jest na pewno sprawdzenie podatności na luki w MS Exchange, a także EternalBlue i BlueKeep. Botnet Prometei automatycznie sprawdza podatności w infrastrukturze i błyskawicznie przemieszcza się pod sieci infekując kolejne punkty końcowe, a także serwery.
Jeśli chcecie się dowiedzieć o samym technicznym działaniu botnetu zapraszamy do naszego wcześniejszego artykułu.
Popularne
7-Zip podatny na NTFS Heap Overflow
Krytyczna luka w Windows Search ujawnia hashe NTLMv2. Microsoft nie wydał jeszcze poprawki
YellowKey: koniec mitu o bezpieczeństwie BitLockera? Nowy zero-day pozwala ominąć szyfrowanie przy użyciu zwykłego pendrive’a
Jak zmienić nieznane/zapomniane hasło Administratora na Windows?
19-letnia luka w jądrze Linuksa naraża systemy na dostęp root
