一个新的cryptojacking僵尸网络正在通过多种方法遍布受感染的网络,这些方法包括针对Windows Server Message Block(SMB)通信协议的EternalBlue(永恒之蓝)漏洞。
攻击者的目标是挖掘Monero(XMR)加密货币并为该任务奴役尽可能多的系统,以增加利润。
复杂的运动
Cisco Talos的研究人员将新的僵尸网络Prometei命名为该僵尸网络,并确定该角色自3月以来一直活跃。他们将攻击标记为依赖于多模块恶意软件的复杂活动。
为了跳到网络上的计算机,参与者将PsExec和WMI之类的离地二进制文件(LoLBins),SMB漏洞利用和被盗凭证组合在一起。
研究人员总共计算出Prometei攻击中的15个以上组件,这些组件均由主模块管理,这些组件先对(RC4)数据进行加密,然后再通过HTTP将其发送到命令和控制(C2)服务器。
“除了着重于在整个环境中传播外,Prometei还尝试恢复管理员密码。发现的密码被发送到C2,然后由其他模块重用,这些模块尝试使用SMB和RDP协议在其他系统上验证密码的有效性。”
研究人员追踪僵尸网络的活动后发现,其模块分为两类,它们的目的截然不同:与采矿有关的操作(投下矿机,在网络上传播)