eSentireの脅威対応ユニット(TRU)は、2016年から活動するロシア関連のボットネット「Prometei」が、ある建設会社のWindows Serverを攻撃しているのを確認しました。
このモジュール型マルウェアは、遠隔操作を奪取し、認証情報を窃取し、Monero暗号資産をマイニングし、ラテラルムーブメントを行い、自己防衛の手口で競合相手を締め出します。ClearWebとTOR経由でC2に接続し、コマンドを受け取ります。
攻撃者はおそらく、脆弱なリモートデスクトッププロトコル(RDP)の認証情報を通じて侵入したとみられます。強固なログやEDRツールがない環境では一般的な侵入口です。彼らはcmdとPowerShellを混在させた、権限昇格を伴う巧妙なコマンドを実行しました:
C2通信はHTTP GETパラメータを使用します:RC4で暗号化されたデータ(RSA-1024でラップされた鍵)、LZNT1圧縮、base64の二重ラップ。
この作戦で直接悪用されたCVEはありませんが、Prometeiは以下に関連する脆弱な設定を悪用します:
サンプルSHA256:8d6f833656638f8c1941244c0d1bc88d9a6b2622a4f06b1d5340eac522793321。
RDPの脆弱性にパッチを適用し、MFA/複雑なパスフレーズを強制し、失敗後にアカウントをロックし、AppLockerでLOLBinsを禁止し、EDR/MDRを導入してください。eSentireはホストを隔離してクリーンアップを支援し、ハンティング用にYaraルールの確認も推奨しています。
翻訳元: https://cyberpress.org/prometei-botnet-targets-windows/