La botnet di criptojacking Prometei utilizza l'exploit NSA per rubare i dati
Prometei botnet si rivolge ai dispositivi Windows.
Il team di intelligence sulle minacce di Cisco Talos ha pubblicato un rapporto che rivela dettagli sorprendenti su come i criminali informatici reinventano continuamente il modo in cui possono monetizzare i loro strumenti e le loro tecniche dannose. Secondo quanto riferito, i ricercatori di Cisco Talos hanno scoperto una nuova "complessa" campagna che coinvolge una rete bot di criptojacking multi-modulare chiamata "Prometei".
La botnet può diffondersi in diversi modi, come ad esempio utilizzando gli exploit del protocollo Windows Server Message Block (SMB), le credenziali rubate, WMI e PsExec. Contiene un carico utile aggiunto specificamente al mio per la crittovaluta Monero, mentre può anche prendere dati dal dispositivo della vittima.
Prometei sfrutta principalmente il protocollo SMB per muoversi lateralmente attraverso il sistema target. La catena di infezione inizia con la compromissione del protocollo SMB di Windows del dispositivo attraverso lo sfruttamento delle vulnerabilità SMB come EternalBlue o la più recente vulnerabilità SMBGhost.
Vale la pena notare che EternalBlue è un exploit di cyber-attacco sviluppato dalla U.S. National Security Agency (NSA). Il 14 aprile 2017, l'exploit è stato rubato e fatto trapelare dal gruppo di hacker Shadow Brokers. Da allora l'exploit è stato utilizzato in diversi attacchi malware, tra cui il recente malware Lucifer che infetta il dispositivo Windows per lanciare un attacco DDoS.
Per quanto riguarda Prometei, la botnet utilizza attacchi di forza bruta e mimikatz per scansionare, memorizzare e provare le credenziali rubate. Le password scoperte vengono inviate a un server C&C per scopi di validità e ad altri moduli per riutilizzarle per verificare le password sui sistemi che utilizzano i protocolli RDP e SMB.
La botnet di criptojacking Prometei utilizza l'exploit NSA per rubare i dati, il mio Monero
(Immagine: Cisco Talos)
Il malware estrae segretamente mine per Monero (XMR) e utilizza altri strumenti per aumentare il numero di sistemi che partecipano al suo pool di cripto-miniere. Secondo i ricercatori di Cisco Talos, questa botnet può contenere fino a 10.000 sistemi contemporaneamente.
In un post del blog, i ricercatori di Cisco Talos hanno scritto questo:
L'attore dietro di essa è probabilmente anche il suo sviluppatore. I TTP indicano che potremmo avere a che fare con uno sviluppatore professionista, sulla base della loro capacità di integrare exploit SMB come Eternal Blue e codice di autenticazione e l'uso di progetti open-source esistenti, come Mimikatz e FreeRDP.
Secondo il team di ricerca di Cisco Talos, Prometei è attivo da marzo 2020 con il suo ampio sistema modulare. La varietà di tecniche/strumenti che utilizza per eludere i sistemi di rilevamento e di compromesso ne fa una scoperta degna di nota.
La botnet di criptojacking Prometei utilizza l'exploit NSA per rubare i dati, la miniera Monero
Il calcolatore di cripto-calcolatore minerario Monero mostra il guadagno della rete bot Prometei (Immagine: Cisco Talos)
Prometei utilizza inoltre 15 moduli eseguibili per ottenere la password di amministratore dal computer in questione. Quando il malware riesce ad ottenere l'accesso ai diritti amministrativi della macchina infetta, inizia a rubare tutti i dati memorizzati sul dispositivo.
La rete bot è ancora attiva e ha una frequenza di generazione di hash di oltre 1 milione di hash al secondo. Attualmente, ha due diversi rami di funzione: uno è il ramo C++ che esegue l'estrazione cripto-minerale, mentre l'altro è basato su .NET e si concentra sul furto di credenziali, l'offuscamento e lo sfruttamento del protocollo SMB.
È interessante notare che il ramo principale può funzionare in modo indipendente in quanto può comunicare direttamente con il C2, eseguendo l'estrazione mineraria, e rubare le credenziali. Utilizzando i moduli ausiliari imbullonati, il malware può comunicare attraverso reti I2P o TOR per raccogliere informazioni sul sistema, identificare le porte aperte e cercare i portafogli di criptovaluta memorizzati.
Dopo che il sistema è stato compromesso, diventa parte dell'esercito delle reti bot. L'aggressore può eseguire un'ampia gamma di compiti come l'esecuzione di comandi o programmi, l'avvio di shell di comando e l'impostazione di chiavi di cifratura RC4, oltre alla crittografia e al furto di dati.
Secondo Cisco Talos, i numeri dei sistemi infettati da Prometei sono in "poche migliaia" e in quattro mesi ha raccolto 1.250 dollari al mese.
"Anche se i guadagni di 1.250 dollari al mese non sembrano una cifra significativa rispetto ad alcune altre operazioni di cybercriminalità, per un singolo sviluppatore dell'Europa dell'Est, questo fornisce più dello stipendio medio mensile per molti Paesi", hanno osservato i ricercatori.
Le richieste di malware C2 vengono rilevate in Messico, Stati Uniti, Turchia, Brasile e Cina. Nonostante un server C2 sia stato sequestrato già a giugno, le operazioni di Prometei rimangono inalterate.
spero che questo articolo vi sia piaciuto, noi ci vedremo ad un prossimo articolo.
