una botnet utilizza il virus dell'NSA
buongiorno cari lettori oggi parleremo di una botnet che utilizza un virus dell'NSA.
Secondo i ricercatori, sono disponibili versioni separate della botnet Prometei per sistemi Linux e Windows.
Secondo un rapporto di Cybereason, i server MS Exchange senza patch vengono cacciati dalla botnet Prometei per espandere il suo esercito di robot di mining di criptovaluta Monero. Non è una sorpresa perché le vulnerabilità CVE-2021-27065 e CVE-2021-26858 identificate nei server MS Exchange hanno reso più facile per i criminali informatici sfruttare il servizio.
Le vulnerabilità sono collegate a un gruppo APT sponsorizzato dallo stato, Hafnium , che le ha sfruttate negli attacchi a MS Exchange Server nel marzo 2021. Gli autori di questa campagna sono ancora sconosciuti, ma Cybereason sospetta che gli attori della minaccia siano russi mentre parlano russo e Prometei è anche un termine russo per Prometeo.
Ampia gamma di settori interessati dalla botnet
La botnet Prometei minaccia vari settori poiché gli autori delle minacce stanno cercando di distribuire malware e strumenti per il furto di credenziali sui dispositivi compromessi. Secondo i ricercatori, settori come finanza, vendita al dettaglio, assicurazioni, produzione, edilizia e viaggi, ecc., Sono altamente vulnerabili.
Inoltre, gli operatori di botnet Prometei sfruttano le vulnerabilità di MS Exchange per indirizzare le reti negli Stati Uniti, nel Regno Unito, in Sud America, nell'Asia orientale e in alcuni paesi europei. Tuttavia, i ricercatori di Cybereason hanno notato che gli aggressori stanno evitando gli obiettivi nel blocco sovietico.
In che modo Prometei attacca gli utenti di MS Exchange?
Prometei installa il componente miner Monero su tutti gli endpoint degli utenti di Exchange sfruttando exploit come EternalBlue e BlueKeep . Può raccogliere credenziali e utilizza moduli spreader SSH o SQL per mantenere e amplificare il controllo sulla rete.
Vale la pena notare che EternalBlue è un exploit di attacco informatico sviluppato e utilizzato dalla US National Security Agency (NSA). È trapelato dagli hacker di Shadow Brokers il 14 aprile 2017.
Sono disponibili versioni separate di Prometei per sistemi basati su Linux e Windows, afferma Cybereason. Ogni versione può regolare il proprio payload dopo aver esaminato il sistema operativo rilevato e le macchine infette.
Può anche interagire con quattro diversi server C&C, il che rafforza anche l'infrastruttura botnet e la rende meno vulnerabile alle rimozioni.
Questo malware modulare è stato individuato per la prima volta nel 2020, quando prendeva di mira principalmente i computer Windows tramite l'exploit EternalBlue . Tuttavia, secondo il team Nocturnus di Cybereason, la botnet è attiva dal 2016.
Si concentra sulla distribuzione del carico utile di cryptomining per iniziare a generare entrate per i suoi operatori.
"Quando gli aggressori prendono il controllo delle macchine infette, non solo sono in grado di estrarre bitcoin rubando potenza di elaborazione, ma possono anche esfiltrare informazioni sensibili", ha dichiarato Cybereason, direttore senior e capo della ricerca sulle minacce, Assaf Dahan.
Secondo il post sul blog di Cybereason , il malware viene aggiornato con funzionalità backdoor e ora supporta una vasta gamma di comandi, tra cui il download / l'esecuzione di file, l'esecuzione di comandi per conto dei suoi operatori e la ricerca di file su sistemi mirati.
"Le ultime versioni di Prometei ora forniscono agli aggressori una backdoor sofisticata e furtiva che supporta un'ampia gamma di attività che rendono l'estrazione di monete Monero l'ultima delle preoccupazioni delle vittime", ha affermato il team di Cybereason.
