{"id":4455,"date":"2023-03-12T12:44:50","date_gmt":"2023-03-12T11:44:50","guid":{"rendered":"https:\/\/sajberinfo.com\/?p=4455"},"modified":"2023-03-12T12:44:50","modified_gmt":"2023-03-12T11:44:50","slug":"azurirani-prometei-botnet-izbjegava-mehanizme-zastite","status":"publish","type":"post","link":"https:\/\/sajberinfo.com\/en\/2023\/03\/12\/azurirani-prometei-botnet-izbjegava-mehanizme-zastite\/","title":{"rendered":"A\u017eurirani Prometei botnet izbjegava mehanizme za\u0161tite"},"content":{"rendered":"

Sigurnosni istra\u017eiva\u010di iz tima Cisco Talos<\/em> u svom izvje\u0161taju navode<\/a> da je Prometei botnet<\/em> zarazio vi\u0161e od 10.000 sistema \u0161irom sveta od novembra 2022. Botnet <\/em>za rudarenje kriptovaluta koristi modularnu strukturu uz kori\u0161tenje razli\u010ditih tehnika za infekciju sistema i izbjegavanje otkrivanja.<\/span><\/p>\n

\"Prometei

A\u017eurirani Prometei botnet izbjegava mehanizme za\u0161tite; Dizajn: Sa\u0161a \u0110uri\u0107<\/em><\/p><\/div>\n

\u0160ta je Prometei botnet<\/em><\/strong><\/span><\/h2>\n

Prometei <\/em>je modularni botnet<\/em> sa mogu\u0107nostima sli\u010dnim crvu (eng. worm<\/em>)<\/a>, koji prvenstveno poku\u0161ava da rudari kriptovalutu Monero<\/em>, stalno se pobolj\u0161ava i a\u017eurira od kada je prvi put vi\u0111en 2016. godine, predstavljaju\u0107i stalnu prijetnju poslovnim organizacijama. Analizom i pra\u0107enjem aktivnosti od novembra 2022. godine, primije\u0107eno je kako Prometei<\/em> napada Windows<\/em> i Linux<\/em> sistemska okru\u017eenja.<\/span><\/p>\n

Prometei botnet <\/em>rudarenje kriptovaluta i kra\u0111a korisni\u010dkih naloga je finansijski motivisana i geografski neselektivna. Infekcije sistema su prvenstveno oportunisti\u010dke, ciljajuc\u0301i ranjive korisnike u svim regionima svijeta i sve vrste industrije kako bi postigli bolje prikupljanje korisni\u010dkih naloga i rudarenje kriptovalute Monero<\/em>.<\/span><\/p>\n

 <\/p>\n

Nova verzija Prometei botnet<\/em>-a<\/strong><\/span><\/h3>\n

\u00a0<\/strong><\/span>Prometei botnet<\/em> nastavlja da pobolj\u0161ava module i pokazuje nove mogu\u0107nosti u nedavnim a\u017euriranjima. Ta\u010dnije re\u010deno, zlonamjerni akteri su a\u017eurirali odre\u0111ene podmodule kako bi automatizovali procese i ote\u017eali metode forenzi\u010dke analize.<\/span><\/p>\n

Najnovija verzija, ozna\u010dena kako v3, podr\u017eava funkcionalnosti koje nisu prije uo\u010dene, kao \u0161to je alternativni algoritam za generisanje domena za pristup komandnom serveru i mehanizam za samostalno a\u017euriranje. Nova varijanta tako\u0111er povezuje Apache web<\/em> server sa web<\/em> komandnim okru\u017eenjem koje se uspostavlja na inficiranom ure\u0111aju.<\/span><\/p>\n

Prometei botnet <\/em>je ranije u svojoj Tor proxy<\/em> konfiguraciji izbjegavao zemlje Zajednica nezavisnih dr\u017eava, kao \u0161to su Rusija, Ukrajina, Bjelorusija i Kazahstan. Sada u zadnjoj verziji se izbjegava samo Rusija kao Tor<\/em> izlazno \u010dvori\u0161te, uz infekciju od samo 0,31% ure\u0111aja u ovoj zemlji od ukupnog broja ure\u0111aja pod kontrolom ovog botnet<\/em>-a, \u0161to navodi istra\u017eiva\u010de da se operator nalazi u ovoj zemlji.<\/span><\/p>\n

 <\/p>\n

\"Prometei

Prometei botnet geographical distribution; Source: <\/em>Cisco Talos Intelligence Blog<\/em><\/a><\/p><\/div>\n

Proces napada<\/strong><\/span><\/h4>\n

\u00a0<\/strong><\/span>Ovaj modularni botnet ima veliki broj komponenti i nekoliko metoda napada, od kojih neke uklju\u010duju i iskori\u0161tavanje ranjivosti kao \u0161to su: EternalBlue, BlueKeep <\/em>i ProxyLogon Microsoft Exchange<\/em> servera. Napad po\u010dinje izvr\u0161avanjem PowerShell<\/em> komande koja preuzima sadr\u017eaj sa udaljenog servera, nakon \u010dega glavni modul preuzima aktivni dio koji se bavi kripto-rudarenjem. Pored toga se preuzimaju i drugi moduli, vr\u0161i uspostavljanje upori\u0161ta i ostvarivanje komunikacije sa komandnim serverom. Dodatni moduli mogu omogu\u0107iti \u0161irenje ovog zlonamjernog softvera putem SMB<\/em>, RDP<\/em> i SSH<\/em> protokola. Detaljniju analizu je mogu\u0107e vidjeti ovdje<\/a>.<\/span><\/p>\n

 <\/p>\n

Zaklju\u010dak<\/strong><\/span><\/h5>\n

Prometei botnet<\/em> je trenutno klasifikovana kao mre\u017ea srednje veli\u010dine koja ima pod kontrolom vi\u0161e od 10.000 ure\u0111aja \u0161irom svijeta, prema podacima iz februara 2023. godine. Suprotno ustaljenoj praksi da se ove mre\u017ee koriste za pokretanje DDoS<\/em> napada<\/a> ili slanje ne\u017eeljene elektronske po\u0161te, u ovom slu\u010daju se vidi koliko su kriptovalute postale va\u017ene u ekonomiji sajber kriminala kao alternativa uobi\u010dajenom poslovnom modelu iznu\u0111ivanja kroz ransomware<\/em>.<\/span><\/p>\n

Upotreba zara\u017eenih ure\u0111aja za rudarenje kriptovalute je mnogo manje destruktivno ili uo\u010dljivo za korisnika indiciranog ure\u0111aja, \u0161to zna\u010di da \u0107e vjerovatno du\u017ee ostati neprimjetno u odnosu na neki drugi agresivniji napad. Zlonamjerni akteri \u010desto imaju problem kako unov\u010diti veliki broj ure\u0111aja pod svojom kontrolom, jer su DDoS<\/em> napadi i slanje ne\u017eeljene elektronske po\u0161te prolazni. Novi model zarade kome se okre\u0107u zlonamjerni akteri je pasivno rudarenje kriptovalute Monero<\/em>, koje se lako obavlja na standardnim korisni\u010dkim ure\u0111ajima.<\/span><\/p>\n

Rudarenjem kriptovalute Monero<\/em>, obi\u010dan korisnik mo\u017ee dobiti nekoliko dolara mjese\u010dno. Me\u0111utim, ako zlonamjerni akter ima nekoliko hiljada ure\u0111aja koji rade kripto-rudarenje, to je ve\u0107 veliki novac. Pored toga, globalno hap\u0161enje sajber kriminalaca je na niskom nivou, a hap\u0161enje zbog zloupotrebe kripto-rudarenja skoro i ne postoji.<\/span><\/p>","protected":false},"excerpt":{"rendered":"

Sigurnosni istra\u017eiva\u010di iz tima Cisco Talos u svom izvje\u0161taju navode da je Prometei botnet zarazio vi\u0161e od 10.000 sistema \u0161irom sveta od novembra 2022. Botnet za rudarenje kriptovaluta koristi modularnu strukturu uz kori\u0161tenje razli\u010ditih...<\/p>","protected":false},"author":1,"featured_media":4457,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[113,114,293,292,147,290,291,98],"class_list":["post-4455","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hronike","tag-botnet","tag-ddos","tag-kriptovalute","tag-monero","tag-rdp","tag-smb","tag-ssh","tag-worm"],"_links":{"self":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/4455","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/comments?post=4455"}],"version-history":[{"count":0,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/4455\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media\/4457"}],"wp:attachment":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media?parent=4455"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/categories?post=4455"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/tags?post=4455"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}