2026年1月、英国のある建設会社は、自社のWindows Serverに潜むデジタル版「最悪の居候」を発見しました。eSentire Threat Response Unit(TRU)のセキュリティ専門家は侵入者を、2016年から活動するロシア関連のボットネットPrometeiだと特定しました。主な目的は暗号資産Moneroのマイニングですが、TRUの調査により、パスワードの窃取やシステムの遠隔操作にも長けていることが明らかになりました。
Hackread.comと共有された調査によると、攻撃者は侵入に天才的な技術を必要としなかった可能性があります。Remote Desktop Protocol(RDP)経由でアクセスするために、簡単なパスワードやデフォルトパスワードを推測しただけだったとみられます。弱い認証情報の使用は、玄関のドアを開けっ放しにするのと同じデジタル上の行為です。
ツールキット
参考までに、Prometeiは単一のファイルではなく、丸ごと一式のツールキットです。侵入後、UPlugPlayというサービスをインストールし、sqhost.exeというファイルを作成して、コンピューター起動のたびに常駐するようにします。
研究者は、このマルウェアの最初の動きが、Primesoftex Ltdに関連するサーバーからメインのペイロードであるzsvc.exeをダウンロードすることだと指摘しました。このファイルは強力に暗号化され、偽装された状態で届きます。
オペレーターに状況を報告するため、PrometeiはWindows標準ツールを使ってコンピューター名や技術的な詳細情報を収集します。さらに調査を進めると、Mimikatz(miWalkとしてラベル付け)というツールも使用し、ネットワーク上のあらゆるパスワードを盗み出す一方で、匿名化されたTORネットワーク経由で通信を中継し、追跡を回避していることが判明しました。
巧妙な偽装と戦術
Prometeiが特に狡猾なのは、検知を回避する方法です。特定のファイルmshlpda32.dllを探し、それを使ってコードを展開します。このファイルが見つからない場合、単にクラッシュするのではなく、無害に見せかけるために偽のシステムタスクを実行するなど、おとりの動作を行います。研究者によれば、これは安全な環境で解析しようとするセキュリティ専門家を欺くための「サンドボックス回避」の手口です。
Prometeiはまた、研究者が用いた表現で「嫉妬深い居候」のようにも振る舞います。というのも、このマルウェアはサーバーに居座って実質的に「鍵を替え」、他者を締め出すからです。netdefender.exeというツールをダウンロードし、実際に他のハッカーの侵入をブロックします。さらにログイン失敗の試行を監視し、侵入を阻止します。皮肉なことに、このマルウェアは自分だけが独占的にアクセスできるようにするという利己的な目的のために、システムを強化してしまうのです。
防御を維持するには
安全を保つ最善の方法は、デフォルトパスワードをやめて複雑なものに変更することです。技術コミュニティの反撃を支援するため、eSentireは研究者がマルウェアを展開して挙動を分析できる2つの専用ツールを公開しました。専門家はまた、多要素認証(MFA)の利用と、悪意ある「居候」が入り込む前にセキュリティ上の隙を塞ぐためのソフトウェア更新の徹底を推奨しています。
翻訳元: https://hackread.com/uk-construction-firm-prometei-botnet-windows-server/
