با توجه به تحقیقات جدید، این بدافزار از اکسپلویت های اخیرا منتشر شده Microsoft Exchange مرتبط با حملات های HAFNIUM ، جهت نفوذ به شبکه برای دیپلوی بد افزار ها، برداشت credential و ... استفاده میکنند.
اولین مستند توسط سیسکو Talos در ماه ژوئیه 2020 منتشر شد که نشان میداد Prometei یک بات نت ماژولار است، اپراتور های پشت حملات از طیف گسترده ای از ابزارهای خاص اختصاصی و اکسپلویت EternalBlue و BlueKeep برای برداشت اعتبار و حرکت جانبی در سراسر شبکه استفاده میکنند که نتیجه ی آن "افزایش دستیابی به سیستم ها و شرکت دادن آنها در استخر Monero-Mining" بود.
بد افزار Prometei دارای هر دو نسخه مبتنی بر ویندوز مبتنی بر ویندوز و لینوکس-یونیکس است و در سراسر شبکه payload خود را بر اساس سیستم عامل شناسایی شده در دستگاه های آلوده پخش میکند.
این بد افزار طوری ساخته شده است همزمان با چهار سرور مختلف (C2) تعامل دارد. اینکار زیرساخت های بات نت را تقویت می کند ، ارتباطات پیوسته با اپراتور و سرور را حفظ می کند و همچنین احتمال قطعی و از کار افتادن بدافزار ها را به حداقل میرساند .
نسخه های اخیر ماژول این بدافزار با قابلیت های Backdoor که از مجموعه گسترده ای از دستورات پشتیبانی می کنند منتشر شده است.
از جمله ماژول های اضافی "Microsoft Exchange Defender"است که به عنوان محصول قانونی مایکروسافت مورد استفاده قرار می گیرد که هدفش از بین بردن سایر web shell ها و بد افزار های موجود است که خودش بتواند نهایت استفاده از سخت افزار را برای استخراج رمز ارز ها ببرد.
بد افزار Prometei در بسیاری از سیستم های امور مالی، بیمه، خرده فروشی، تولید، خدمات آب و برق، مسافرت و ساخت و ساز، شبکه های ایالات متحده، انگلستان و چندین کشور در اروپا، آمریکای جنوبی و شرق آسیا مشاهده شده است ، در حالی که به صراحت از آلوده کردن اهداف در کشورهای عضو شوروی سابق خودداری میکند.
برای دریافت مشاوره رایگان برای شرکت یا سازمان خود میتوانید با ایمیل Cert@NovaSecurity.net در ارتباط باشید.
همچنین برای دریافت بروزترین اخبار امنیت سایبری عضویت در کانال تلگرامی ما رو فراموش نکنید!
Telegram.me/NovaSecurity
