В марте 2025 года исследователи кибербезопасности из Unit 42 зафиксировали новую волну активности ботнета Prometei, который использует одноименное семейство вредоносного ПО для контроля зараженных систем. Prometei представляет собой серьезную угрозу, так как поддерживает как Windows-, так и Linux-версии, позволяя злоумышленникам удаленно управлять устройствами для майнинга криптовалюты (в основном Monero) и кражи учетных данных. В данной статье основное внимание уделено Linux-варианту, который демонстрирует признаки активного развития, включая новые модули и методы работы.
Описание
Современные версии Prometei оснащены бэкдором, который открывает широкие возможности для злонамеренных действий. Для обеспечения устойчивости ботнет использует алгоритм генерации доменных имен (DGA), позволяющий динамически создавать адреса для связи с командными серверами (C2). Кроме того, вредоносное ПО обладает функцией самообновления, что делает его более скрытным и устойчивым к обнаружению.
Ботнет Prometei впервые был обнаружен в июле 2020 года, причем изначально атаковал преимущественно Windows-системы. Linux-версия появилась позже, в декабре того же года. С тех пор злоумышленники активно развивают его функционал, внедряя новые эксплойты, такие как перебор учетных данных, использование уязвимости EternalBlue (известной по атакам WannaCry) и эксплуатацию уязвимостей протокола SMB для распространения внутри сетей.
Основная цель Prometei - майнинг криптовалюты, однако он также способен похищать данные и загружать дополнительные вредоносные модули. Исследователи Unit 42 не обнаружили связей ботнета с государственными структурами, что указывает на финансовую мотивацию атакующих.
Архитектура Prometei модульная, что делает его гибким и адаптивным. Каждый компонент отвечает за определенную функцию: перебор паролей, эксплуатацию уязвимостей, майнинг, кражу данных или связь с C2-серверами. Это позволяет злоумышленникам обновлять отдельные модули, не затрагивая всю систему.
Новая волна атак, наблюдаемая с марта 2025 года, демонстрирует усложнение техник распространения. Вредоносное ПО распространяется через HTTP-запросы к серверу в Индонезии, причем файлы маскируются под PHP-скрипты, хотя на самом деле являются скомпрессированными исполняемыми файлами формата ELF (для Linux). Для затруднения анализа авторы используют упаковщик UPX, а также добавляют в файлы JSON-конфигурации, которые необходимо удалять перед статическим анализом.
Исследователи отмечают, что новые версии Prometei (3 и 4) получили дополнительные поля в конфигурации, включая идентификаторы родительских узлов и IP-адреса, что указывает на усложнение логики работы ботнета. Кроме того, вредонос собирает детальную информацию о зараженных системах, включая данные процессора, материнской платы, ОС и времени работы, отправляя их на C2-сервер.
Анализ Prometei показывает, что ботнеты продолжают эволюционировать, становясь более сложными и устойчивыми к традиционным методам защиты. Это подчеркивает необходимость постоянного мониторинга угроз и своевременного обновления систем безопасности.
Индикаторы компрометации
URLs
- http://103.41.204.104/k.php
- http://152.36.128.18/cgi-bin/p.cgi
SHA256
- 205c2a562bb393a13265c8300f5f7e46d3a1aabe057cb0b53d8df92958500867
- 46cf75d7440c30cbfd101dd396bb18dc3ea0b9fe475eb80c4545868aab5c578c
- 656fa59c4acf841dcc3db2e91c1088daa72f99b468d035ff79d31a8f47d320ef
- 67279be56080b958b04a0f220c6244ea4725f34aa58cf46e5161cfa0af0a3fb0
- 7a027fae1d7460fc5fccaf8bed95e9b28167023efcbb410f638c5416c6af53ff
- 87f5e41cbc5a7b3f2862fed3f9458cd083979dfce45877643ef68f4c2c48777e
- b1d893c8a65094349f9033773a845137e9a1b4fa9b1f57bdb57755a2a2dcb708
- cc7ab872ed9c25d4346b4c58c5ef8ea48c2d7b256f20fe2f0912572208df5c1a
- d21c878dcc169961bebda6e7712b46adf5ec3818cc9469debf1534ffa8d74fb7
- d4566c778c2c35e6162a8e65bb297c3522dd481946b81baffc15bb7d7a4fe531
