Старый, но эффективный: как «Prometei» до сих пор захватывает новые устройства

Необновлённые системы становятся лёгкой добычей для цифрового хищника.


1li0m7tz1y3u033o7glfwbcgk48qj24n.jpg


Восьмилетний ботнет «Prometei» продолжает заражать системы по всему миру, распространяя криптоджекинг -программы и веб-шеллы. Впервые он был обнаружен в 2020 году, однако данные исследователей показывают, что он действует с 2016 года. За это время он проник на более 10 000 компьютеров в таких странах, как Бразилия, Индонезия, Турция и Германия.

«Prometei» активно использует уязвимости в широко распространённом программном обеспечении, проникая в системы с недостаточной защитой. По словам Калли Гюнтер, менеджера по исследованиям угроз в Critical Start , ботнет распространяется через слабые конфигурации и незащищённые серверы. Он нацелен на регионы с низким уровнем кибербезопасности, избегая географических ограничений и извлекая выгоду из системных недостатков.

В недавнем отчёте Trend Micro описывается, как «Prometei» сначала действует весьма неуклюже, совершая множество неудачных попыток входа, но затем скрытно эксплуатирует старые уязвимости. Одной из таких уязвимостей является BlueKeep, которая позволяет выполнить код удалённо и до сих пор встречается в устаревших RDP-системах. Также он использует EternalBlue для распространения через протокол SMB и пробует обходить защиту через ProxyLogon, выявляя незащищённые серверы Exchange.

Цель атак «Prometei» — найти системы, оставшиеся без регулярных обновлений. По мнению эксперта из Qualys Майуреша Дани, ботнет в первую очередь ищет именно лёгкие мишени. Такой подход позволяет злоумышленникам минимизировать сопротивление и получать максимальную выгоду от незащищённых ресурсов.

После проникновения в систему ботнет использует алгоритм генерации доменов (DGA), чтобы сохранять связь с командно-контрольными серверами, даже если часть доменов блокируется. Программа также принудительно активирует устаревший протокол WDigest для извлечения паролей в виде простого текста и обходит защиту Windows Defender, исключая ключевые библиотеки из проверки.

Основной целью «Prometei» остаётся скрытый майнинг криптовалюты Monero на заражённых устройствах. Кроме того, ботнет устанавливает веб-шелл через сервер Apache, позволяя злоумышленникам загружать дополнительные файлы и запускать произвольные команды.

Исследователи отмечают, что наличие в системе криптомайнеров, таких как в кампаниях Prometei, может указывать на более серьёзные атаки. Как упомянул Стивен Хилт из Trend Micro, ботнет часто становится предвестником других угроз, как это уже наблюдалось с LemonDuck, совмещавшим криптоджекинг и вымогательство.

Имя «Prometei» отсылает к мифологическому Прометею, чья печень ежедневно восстанавливалась после нападений орла, что символично напоминает о стойкости ботнета даже после попыток его устранения.