Ботнет с поэтичным названием охотится на серверы Microsoft Exchange

0
90

Атака ПК под Windows и Linux

Крупный ботнет Prometei начал атаковать уязвимые серверы Microsoft Exchange с целью генерации криптовалют и распространения шифровальщиков.

Ботнет был впервые описан в 2020 г.: его заметили в силу того, что он тогда начал использовать печально знаменитый эксплойт EternalBlue для распространения на компьютерах под управлением Windows. Но он также может атаковать и системы под Linux.

По мнению экспертов компании Cybereason, ботнет существует, самое позднее, с 2016 г. Именно тогда первые его сэмплы стали появляться на VirusTotal. Его операторы, по-видимому, адаптируют его функциональность при каждой удобной возможности.

Ботнет с поэтичным названием охотится на серверы Microsoft Exchange

Ботнет Prometei атакует серверы Microsoft Exchange

Сейчас в тренде уязвимости в Microsoft Exchange, и Prometei активно использует их для установки криптомайнеров. Он также пытается распространяться по локальной сети, используя эксплойты EternalBlue и BlueKeep, а также перехваченные реквизиты доступа и модули распространения через SSH и SQL.

Кроме того, вредонос пытается красть данные и устанавливать бэкдоры для будущей загрузки и запуска новых вредоносных программ или выполнения команд, заданных операторами. По мнению Cybereason, добыча криптовалют на зараженном сервере — это наименьшая из всех проблем, которые Prometei может доставить жертвам.

Русскоязычные, финансово мотивированные операторы

Эксперты предполагают, что операторы ботнета являются русскоязычными. Об этом свидетельствует ряд языковых артефактов в коде. В Cybereason считают, что никакой мотивации кроме финансовой у операторов этого ботнета нет.

ЧИТАТЬ ТАКЖЕ:  3itech построила омниканальную аналитическую систему для контакт-центра гипермаркета Holodilnik.ru

«О финансовой подоплеке здесь свидетельствует и изобилие инструментов для заражения, — считает Анастасия Мельникова, эксперт по информационной безопасности компании SEC Consult Services. — Обычно именно финансово-мотивированные кибергруппировки создают такие универсальные “швейцарские ножи”, используя любые известные уязвимости и эксплойты, в то время как условные киберразведчики скорее будут использовать более узконаправленный арсенал».

Prometei атакует две уязвимости под индексами CVE-2021-27065 и CVE-2021-26858. В атаках на них были также замечены несколько других кибергруппировок, в том числе связанные с китайскими властями. В основном эти баги использовались для установки криптомайнеров и веб-шеллов, а также распространения шифровальщиков.

В марте Microsoft объявила, что около 92% доступных из интернета локальных серверов Exchange получили обновления от этих уязвимостей. Сейчас данный процент может быть еще выше, однако в абсолютных значениях уязвимыми остается довольно большое количество серверов.

Microsoft выпустила не только обновления к этим уязвимостям, но и инструмент для быстрой их установки, не требующий участия технических специалистов. Защитные меры против эксплойтов для Exchange также реализованы на уровне штатного антивируса Windows Defender.

ОСТАВЬТЕ ОТВЕТ

Пожалуйста, введите ваш комментарий!
пожалуйста, введите ваше имя здесь