Prometei Botnet的隐秘变种

关键要点

• Prometei botnet的第三代Linux版本正在扩散，已感染约10,000个系统。
• 新版具有更高的技术能力，包括替代C2域名生成算法、自我更新机制及打包的Apache Webserver。
• 该botnet目标是推广Monero加密货币挖矿恶意软件，并具备窃取凭证的功能。
• 该变体对于组织安全构成了持续威胁，且越发难以被检测和阻止。

根据Cisco Talos研究员的报告，一个更隐秘的Prometeibotnet变种正在影响安全团队。这个升级版的主要目的是向受害者传播Monero加密货币挖矿恶意软件和更新的凭证窃取工具。

在，研究人员表示，网络威胁行为者积极传播一个改进的第三代Linux版本Prometei botnet，估计全球已感染约10,000个系统。

“我们观察到以前未记录的功能，包括替代C2域名生成算法（DGA）、自我更新机制，以及捆绑的Apache
Webserver版本和部署到受害者主机上的Webshell，从而提高了botnet的整体技术能力，”Cisco的报告中提到。

Prometeibotnet非常模块化，展示出蠕虫般的能力。其主要目标是部署Monero加密货币挖矿恶意软件。研究人员表示，该botnet自2016年首次出现以来，已持续改进和更新，给组织带来了持久的威胁。

“Prometei绝对是一种危险的威胁，”Cisco Talos的外联负责人Nick Biasini表示。
“它展现出了持续更新感染机制、反分析技术的能力，这次新增加的域名生成算法和自我更新机制使得其更有效地逃避阻止机制。尽管有效载荷主要是加密矿工，但窃取凭证的附加能力在以访问交易者为主的网络犯罪环境中变得日益重要。”

根据Cisco的报告，在俄罗斯入侵乌克兰之前，该botnet背后的威胁行为者主要避免针对俄罗斯及其境内多个边境国家。现在，他们的目标只限于避免俄罗斯。CiscoTalos报告称，这可能表明botnet的作者希望限制对任何俄罗斯主机的感染和/或通信——传达出之前排除的边境国家现在已成为攻击目标的信息。

不止是DDoS攻击的Botnets

长达20多年来，botnets一直是一个问题，其能力不断演变，如今已成为可以执行多种角色的多功能工具，Vulcan Cyber的高级技术工程师MikeParkin解释说。Parkin指出，Prometei botnet的演变恰好是一个很好的范例，也显示出它们不仅用于执行DDoS攻击或传播垃圾邮件。

“它还展示了加密货币在暗网经济中变得多么重要，以及它成为了常见‘勒索和敲诈’商业模式的替代品，”Parkin说。“使用它们的机器人进行加密货币挖矿对主机的破坏性或侵入性要小得多，这意味着它有可能在很长时间内保持低调，不会像其他更激进的攻击那样引人注意。”

Netenrich的首席威胁猎手JohnBambenek表示，罪犯面临的一个问题是如何为那么多受害机器变现。他提到，租用DDoS攻击是高度暂时性的：能进行的垃圾邮件/phishing有限，因此许多人转向被动收入，挖掘Monero，这在普通硬件上很容易完成。

“一台典型的消费者电脑可能每月只能在Monero上挖出几美元，如果非常保守的话，”Bambenek说道。“如果你有上百万台机器，那可真是大钱。网络犯罪的起诉可能性已经很低，而加密货币挖矿则几乎不存在风险。”

Deep Instinct的网络情报工程经理MatthewFulmer补充说，botnets总体上旨在将“僵尸”终端变成一台大型超级计算机，以执行所控制用户的命令。

“这听起来不错，但实际上这要求在机器上留下持久性，这