มัลแวร์ Botnet เวอร์ชันอัปเดต ชื่อ "Prometei" ได้แพร่กระจายไปมากกว่า 10,000 ระบบทั่วโลกตั้งแต่เดือนพฤศจิกายน 2022
การแพร่กระจายที่เกิดขึ้น มีรายงานว่าเหยื่อส่วนใหญ่อยู่ในประเทศบราซิล, อินโดนีเซีย และตุรกี
Prometei ถูกพบครั้งแรกในปี 2016 โดยเป็น Botnet ที่มีส่วนประกอบจำนวนมาก และมีหลากหลายวิธีในการการแพร่กระจาย เช่น การใช้ช่องโหว่ ProxyLogon ของ Microsoft Exchange Server
มีข้อสันนิษฐานเกี่ยวกับผู้โจมตีที่อยู่เบื้องหลังว่าอาจมีความเชื่อมโยงกับประเทศรัสเซีย เนื่องจาก Prometei หลีกเลี่ยงที่จะโจมตีเหยื่อที่อยู่ในประเทศรัสเซีย
Prometei เป็น Botnet ที่สามารถทำงานข้ามแพลตฟอร์ม โดยมีแรงจูงใจเป็นเรื่องเงินเป็นหลัก โดยมักจะใช้เครื่องที่ถูกโจมตีมาขุดเหรียญ cryptocurrency และขโมยข้อมูล credentials สำคัญต่าง ๆ
Cisco Talos รายงานว่า "เวอร์ชันล่าสุดของ Prometei คือ v3 มีการปรับปรุงคุณสมบัติเดิมเพื่อทำให้ยากต่อการวิเคราะห์ด้วยเทคนิค forensic และยังสามารถเจาะเข้าถึงเครื่องของเหยื่อได้อย่างมีประสิทธิภาพมากขึ้น"
ขั้นตอนการโจมตี :
- เมื่อเข้าถึงเครื่องของเหยื่อสำเร็จ จะดำเนินการรันคำสั่ง PowerShell เพื่อดาวน์โหลดมัลแวร์ จาก C2 Server
- โมดูลหลักของ Prometei จะถูกใช้เพื่อเรียกข้อมูลอื่น ๆ บนระบบ เช่น ดาวน์โหลดเครื่องมือสำหรับขุดเหรียญคริปโต บางโมดูลจะทำหน้าที่แพร่กระจายมัลแวร์ผ่าน Remote Desktop Protocol (RDP), Secure Shell (SSH), และ Server Message Block (SMB)
Prometei v3 ใช้วิธี Domain Generation Algorithm (DGA) เพื่อสร้าง Command & Control และยังมีฟังก์ชันในการอัปเดตตัวเอง, คำสั่งในการเก็บข้อมูลที่มีความสำคัญ, และคำสั่งในการควบคุมเครื่องที่ถูกโจมตี
โดยพบว่ามัลแวร์ยังมีการติดตั้ง Apache web server ที่มาพร้อมกับ PHP-based web shell ซึ่งสามารถทำให้ผู้โจมตีสั่งรันคำสั่งที่เข้ารหัสด้วย Base64 และขโมยข้อมูลออกไปได้
Talos ระบุว่า "การเพิ่มความสามารถล่าสุด สอดคล้องกับรายงานของนักวิจัยด้านความเสี่ยงก่อนหน้านี้ว่า ผู้โจมตีที่อยู่เบื้องหลังของ Prometei กำลังพัฒนา และเพิ่มฟังก์ชันการทำงานของมัลแวร์อยู่อย่างต่อเนื่อง"
ที่มา : thehackernews
You must be logged in to post a comment.