Ažurirani Prometei botnet izbjegava mehanizme zaštite
Sigurnosni istraživači iz tima Cisco Talos u svom izvještaju navode da je Prometei botnet zarazio više od 10.000 sistema širom sveta od novembra 2022. Botnet za rudarenje kriptovaluta koristi modularnu strukturu uz korištenje različitih tehnika za infekciju sistema i izbjegavanje otkrivanja.
Ažurirani Prometei botnet izbjegava mehanizme zaštite; Dizajn: Saša Đurić
Šta je Prometei botnet
Prometei je modularni botnet sa mogućnostima sličnim crvu (eng. worm), koji prvenstveno pokušava da rudari kriptovalutu Monero, stalno se poboljšava i ažurira od kada je prvi put viđen 2016. godine, predstavljajući stalnu prijetnju poslovnim organizacijama. Analizom i praćenjem aktivnosti od novembra 2022. godine, primijećeno je kako Prometei napada Windows i Linux sistemska okruženja.
Prometei botnet rudarenje kriptovaluta i krađa korisničkih naloga je finansijski motivisana i geografski neselektivna. Infekcije sistema su prvenstveno oportunističke, ciljajući ranjive korisnike u svim regionima svijeta i sve vrste industrije kako bi postigli bolje prikupljanje korisničkih naloga i rudarenje kriptovalute Monero.
Nova verzija Prometei botnet-a
Prometei botnet nastavlja da poboljšava module i pokazuje nove mogućnosti u nedavnim ažuriranjima. Tačnije rečeno, zlonamjerni akteri su ažurirali određene podmodule kako bi automatizovali procese i otežali metode forenzičke analize.
Najnovija verzija, označena kako v3, podržava funkcionalnosti koje nisu prije uočene, kao što je alternativni algoritam za generisanje domena za pristup komandnom serveru i mehanizam za samostalno ažuriranje. Nova varijanta također povezuje Apache web server sa web komandnim okruženjem koje se uspostavlja na inficiranom uređaju.
Prometei botnet je ranije u svojoj Tor proxy konfiguraciji izbjegavao zemlje Zajednica nezavisnih država, kao što su Rusija, Ukrajina, Bjelorusija i Kazahstan. Sada u zadnjoj verziji se izbjegava samo Rusija kao Tor izlazno čvorište, uz infekciju od samo 0,31% uređaja u ovoj zemlji od ukupnog broja uređaja pod kontrolom ovog botnet-a, što navodi istraživače da se operator nalazi u ovoj zemlji.
Prometei botnet geographical distribution; Source: Cisco Talos Intelligence Blog
Proces napada
Ovaj modularni botnet ima veliki broj komponenti i nekoliko metoda napada, od kojih neke uključuju i iskorištavanje ranjivosti kao što su: EternalBlue, BlueKeep i ProxyLogon Microsoft Exchange servera. Napad počinje izvršavanjem PowerShell komande koja preuzima sadržaj sa udaljenog servera, nakon čega glavni modul preuzima aktivni dio koji se bavi kripto-rudarenjem. Pored toga se preuzimaju i drugi moduli, vrši uspostavljanje uporišta i ostvarivanje komunikacije sa komandnim serverom. Dodatni moduli mogu omogućiti širenje ovog zlonamjernog softvera putem SMB, RDP i SSH protokola. Detaljniju analizu je moguće vidjeti ovdje.
Zaključak
Prometei botnet je trenutno klasifikovana kao mreža srednje veličine koja ima pod kontrolom više od 10.000 uređaja širom svijeta, prema podacima iz februara 2023. godine. Suprotno ustaljenoj praksi da se ove mreže koriste za pokretanje DDoS napada ili slanje neželjene elektronske pošte, u ovom slučaju se vidi koliko su kriptovalute postale važne u ekonomiji sajber kriminala kao alternativa uobičajenom poslovnom modelu iznuđivanja kroz ransomware.
Upotreba zaraženih uređaja za rudarenje kriptovalute je mnogo manje destruktivno ili uočljivo za korisnika indiciranog uređaja, što znači da će vjerovatno duže ostati neprimjetno u odnosu na neki drugi agresivniji napad. Zlonamjerni akteri često imaju problem kako unovčiti veliki broj uređaja pod svojom kontrolom, jer su DDoS napadi i slanje neželjene elektronske pošte prolazni. Novi model zarade kome se okreću zlonamjerni akteri je pasivno rudarenje kriptovalute Monero, koje se lako obavlja na standardnim korisničkim uređajima.
Rudarenjem kriptovalute Monero, običan korisnik može dobiti nekoliko dolara mjesečno. Međutim, ako zlonamjerni akter ima nekoliko hiljada uređaja koji rade kripto-rudarenje, to je već veliki novac. Pored toga, globalno hapšenje sajber kriminalaca je na niskom nivou, a hapšenje zbog zloupotrebe kripto-rudarenja skoro i ne postoji.
