آلوده شدن بیش از 10000 سیستم در سراسر جهان توسط نسخه جدید بات‌نت Prometei - مرکز پژوهشی آپا

نسخه به‌روز شده یک بدافزار بات‌نت به نام Prometei از نوامبر ۲۰۲۲ بیش از ۱۰۰۰۰ سیستم را در سراسر جهان آلوده کرده است.

این آلودگی‌ها هم ازنظر جغرافیایی بی‌رویه و هم فرصت‌طلب هستند و اکثر قربانیان در برزیل، اندونزی و ترکیه گزارش شده‌اند.

Prometei که برای اولین بار در سال ۲۰۱۶ مشاهده شد، یک بات نت ماژولار است که دارای مجموعه بزرگی از مؤلفه‌ها و چندین روش تکثیر است که برخی از آن‌ها شامل بهره‌برداری[۱] از نقص‌های ProxyLogon Microsoft Exchange Server نیز می‌شود.

همچنین به دلیل اجتناب از موردحمله قرار دادن سیستم‌های واقع در روسیه قابل‌توجه است و نشان می‌دهد که عوامل تهدید پشت این عملیات احتمالاً در این کشور مستقر هستند.

انگیزه‌های این بات‌نت cross-platform مالی است و در درجه اول از میزبان‌های آلوده خود برای استخراج ارز دیجیتال و برداشت اعتبار استفاده می‌کند.

Cisco Talos در گزارشی که با The Hacker News به اشتراک گذاشته‌شده است، گفت[۲]: جدیدترین نوع Prometei (به نام v3) ویژگی‌های موجود خود را بهبود می‌بخشد تا تجزیه‌وتحلیل forensic را به چالش بکشد و دسترسی خود را به ماشین‌های قربانی بیشتر کند.

توالی حمله به این صورت پیش می‌رود: پس از به دست آوردن جایگاه موفقیت‌آمیز، یک فرمان PowerShell برای بارگیری بار بات‌نت از یک سرور راه دور اجرا می‌شود. سپس ماژول اصلی Prometei برای بازیابی بار واقعی استخراج رمزنگاری و سایر اجزای کمکی در سیستم استفاده می‌شود.

برخی از این ماژول‌های پشتیبانی به‌عنوان برنامه‌های پخش‌کننده طراحی‌شده برای انتشار بدافزار از طریق پروتکل دسکتاپ از راه دور[۳] (RDP)، پوسته ایمن[۴] (SSH) و بلوک پیام سرور[۵] (SMB) طراحی ‌شده‌اند.

Prometei v3 همچنین برای استفاده از الگوریتم تولید دامنه[۶] (DGA) برای ساخت زیرساخت فرمان و کنترل (C2) آن قابل‌توجه است. علاوه بر این، مکانیزم به‌روزرسانی و مجموعه گسترده‌ای از دستورات را برای جمع‌آوری داده‌های حساس و فرماندهی میزبان دارد.

همچنین این بدافزار یک وب سرور آپاچی را مستقر می‌کند که همراه با پوسته وب مبتنی بر PHP است که قادر به اجرای دستورات کدگذاری شده با Base64 و آپلود فایل‌ها است.

Andrew Windsor و Vanja Svajcer، محققین Talos، در این باره می‌گویند: «این اضافه شدن اخیر قابلیت‌های جدید نشان می‌دهد که اپراتورهای Prometei به‌طور مداوم این بات‌نت را به‌روزرسانی می‌کنند و قابلیت‌هایی را به آن اضافه می‌کنند».

منابع

[۱] https://apa.aut.ac.ir/?p=7919

[۲] https://blog.talosintelligence.com/prometei-botnet-improves/

[۳] https://en.wikipedia.org/wiki/Remote_Desktop_Protocol

[۴] https://en.wikipedia.org/wiki/Secure_Shell

[۵] https://en.wikipedia.org/wiki/Server_Message_Block

[۶] https://en.wikipedia.org/wiki/Domain_generation_algorithm

[۷] https://thehackernews.com/2023/03/new-version-of-prometei-botnet-infects.html