Вредоносное ПО и ботнет Prometei продолжают развиваться, демонстрируя новые техники атак и усложняя процесс обнаружения. Команда Stairwell Threat Research выявила 53 новых варианта Prometei. Это исследование стало продолжением работы, начатой Palo Alto Networks, которая в июне 2025 года сообщила о возрождении активности Prometei после периода относительного затишья.
Описание
Prometei впервые был обнаружен в июле 2020 года, однако есть свидетельства, что его разработка началась ещё в 2016 году. В последнее время активность ботнета резко возросла, начиная с марта 2025 года. Вредоносное ПО атакует как Linux, так и Windows-системы, используя уязвимости EternalBlue, SMB и RDP для распространения по сетям. Основные цели Prometei - кража учетных данных и добыча криптовалюты, в частности Monero. Одна из ключевых особенностей этого вредоноса - сложность обнаружения из-за использования алгоритма генерации доменных имен (DGA) и способности к самообновлению.
Stairwell Threat Research, используя технологию Variant Discovery, выявила 53 ранее неизвестных варианта Prometei, которые имеют общие технические характеристики и инфраструктуру управления. Эта функция позволяет автоматически группировать связанные образцы вредоносного ПО, даже если их код был изменён или обфусцирован.
Исследование Stairwell подчёркивает, что борьба с современными угрозами требует не только традиционных методов детекции, но и продвинутых аналитических возможностей, позволяющих выявлять даже замаскированные варианты вредоносного ПО. Комбинация ретроспективного анализа с динамическими правилами обнаружения обеспечивает более эффективную защиту от таких сложных угроз, как Prometei.
Индикаторы компрометации
IPv4
- 152.36.128.18
SHA256
- 69f4870aa9cd29313098c744155830074b81b03f19ed101c32299fa08d54f9c5
- 817e8682000f34a40d91a113af4aa755e5c424a31f1153b373062ce34b1dce6d
- c2fddbc523eee985178253026259f44016e9646536b37e98602315256845963a
- ce8ec66ca2c677feb87037de53a37433b9422f0ab57ba5bdf68c521db9b64f7f
- d8551d6f415da2482b0827d2e7c0f7bbea2437757344b9f31c3bd69b895e29fe
YARA
| 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 | rule Prometei_UPXJSON_config { meta: description = "Detects Prometei malware with UPX and JSON config" author = "vincentzell@stairwell.com" date = "2025-07-01" strings: $upx_magic = { 55 50 58 21 } $overlay_offset = { F4 00 00 00 } $json_config = "{\"config\":" ascii condition: all of them and filesize >=404787 and filesize <= 436122 } |
| 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 | rule Prometei_ELF_Strings { meta: author = "vincentzell@stairwell.com" date = "2025-07-01" description = "Detects recent Linux variant of Prometei as of July 2025; developing botnet and malware" strings: $s1 = "HTTP/1.04Ho&:$" ascii $s2 = "9999 !\"#9999$%&'9999()*+9999,-./9999012399994567999989:;9999<=>?9999@ABC9999DEFG9999HIJK9999LMNO9999QRST9999UVWX9999YZ[\\9999^_jk9999rstu9999" ascii $s3 = "{\"config\":1,\"id\":\"4H92JnV9tt6z96Rf\",\"enckey\":\"Vxph1YmKABXOJJXWet8BOStgbCVJ9w11E807q4AA8hrb7YTKrOWeF13pEL9KGJb6QO82jV07QndS98Ygi9YJ7FJ5L/LXDpZ5EQJZhBXafw011kOMjfmhyA2p00Mk5d11bZkF1SfkNwY1uoQdJ+nlDDhGQVyTa2bndS0XmDq5wWs=\"}" ascii $s4 = "bf8###g89 WVQ" ascii $s5 = "Nng ups_9ILP32_OFF" ascii $s6 = "bOtEuMN2Bpx2" ascii condition: 5 of them } |
| 1 2 3 4 5 6 7 8 9 10 11 | rule Prometei_C2_2025 { meta: author = "vincentzell@stairwell.com" desc = "Hunt for recent Prometei C2 as of June 2025" strings: $ip = "152.36.128.18" ascii nocase condition: $ip } |
