新版Prometei僵尸网络感染全球超过1万个系统
💡
原文中文,约600字,阅读约需2分钟。
📝
内容提要
新版本的Prometei僵尸网络自2022年11月以来,已经感染全球超过10000个系统,主要集中在巴西、印度尼西亚和土耳其,目标是金融领域,主要是挖掘加密货币和收获凭证,最新变体(v3)改进了其现有功能,进行取证分析,钻取访问,建立C2基础设施,部署Apache网络服务器,捆绑PHP网络外壳,执行Base64编码的命令。
🎯
关键要点
- 自2022年11月以来,Prometei僵尸网络感染全球超过10000个系统,主要集中在巴西、印度尼西亚和土耳其。
- Prometei于2016年首次被发现,是一个模块化的僵尸网络,具有多种组件和扩散方法。
- 该僵尸网络的主要目标是金融领域,利用受感染主机挖掘加密货币和收获凭证。
- Prometei的最新变体v3改进了现有功能,进行取证分析并在受害者机器上钻取访问。
- 攻击序列包括执行PowerShell命令,从远程服务器下载恶意软件,检索加密采矿有效载荷和辅助组件。
- 一些辅助模块通过RDP、SSH和SMB传播恶意软件。
- Prometei v3使用域生成算法(DGA)建立命令和控制(C2)基础设施,并具备自我更新机制和扩展命令集。
- 该恶意软件部署Apache网络服务器,捆绑PHP网络外壳,能够执行Base64编码的命令和文件上传。
➡️
