Prometei僵尸网络在新一轮全球攻势中卷土重来,已经感染了155个国家的1万台设备,入侵数量与日俱增。
自2016年以来一直存在的模块化恶意软件在一次新的活动中被发现。思科塔洛斯他们报告说,僵尸网络运营商正在使用一种新的升级变种,这似乎是其第三次重大发布。
新版本的显著新增功能包括域生成算法(DGA)、自我更新机制,以及使用预装Web shell的Apache Web服务器访问目标设备的新方法。
789vnp破解版
Prometei目前的受害者并不集中,而是具有一定的随机性和机会性,因此该僵尸网络可能入侵从大型组织的计算机到个人家用电脑的任何计算机。
在目标国家方面,目前只有俄罗斯没有受到感染,这表明威胁行为者是俄罗斯人或与俄罗斯有关联。 到目前为止,感染数量较多的国家有美国、中国、巴西、印度、新加坡、法国、意大利和印度。
思科塔洛斯
该僵尸网络的主要目标是劫持受害者的可用计算资源来挖掘Monero。 这种加密货币在网络犯罪分子中非常流行,因为执法机关很难追踪它。 (在我们的私人和匿名支付.)
然而,Talos还观察到Prometei使用Mimikatz工具从事凭证收集活动,威胁行为者可能会利用该工具进行账户接管攻击或将数据转售给他人以获取额外利润。
tomvnp破解版
Prometei第3版最显著的新功能是域名生成算法(DGA),它可自动生成多达48个新域名,分配给僵尸网络用作C2(命令和控制)服务器。 该系统为Prometei提供了出色的抗攻击能力,有助于躲避检测,并为操作提供了冗余性和灵活性。
新版恶意软件的第二项进化是能够在主机上自动更新。 它通过从C2下载批处理文件并在主机上运行来实现这一功能。 批处理文件将检查系统中存在哪些组件,然后下载一个加密的7z压缩包,其中包含最新版本的组件。 最后,它会解压缩,安装新文件并删除旧版本。
第三个重要升级是使用预先配置的Apache网络服务器,该服务器以压缩ZIP档案的形式被放置到受害者的系统中。 该服务器包含一个简单的基于PHP的web shell,使操作者能够远程访问被攻击的设备,并在其上执行任意命令。 在这种情况下,攻击者使用web shell对受害者的网络进行侦查,执行命令,下载文件,并将数据外泄到C2。
思科塔洛斯
Cisco Talos还发现了一些以前未记录的新命令,包括窃取剪贴板数据、在指定屏幕位置执行鼠标点击、删除文件和将文件上传到C2。
tomvnp破解版
僵尸网络依靠利用软件和固件中的漏洞入侵设备,因此保持软件和操作系统最新是一个可靠的防御技巧。 除此之外,您还应谨慎对待来自未知发件人的带有可疑附件的电子邮件,并避免从不为人知的网站下载软件。
从网上下载时,在您的设备上执行之前,请务必使用防病毒工具进行检查。
"据我们评估,Prometei威胁仍在持续,并将在可预见的未来不断演变。 其通用C2基础设施继续显示出稳定的活动流,而运营商则不断轮换其恶意软件和加密主机"。 - 思科塔洛斯
像Prometei这样在受害者设备上执行加密挖掘的威胁可能更容易被发现,因为它们会造成性能故障,甚至在CPU正常闲置时也会提高设备温度,并产生无法归因于合法服务的网络流量。
tomvnp破解版