Una botnet modular de 8 años todavía está activa, difundiendo cryptojacker y web shell a máquinas en todos los continentes.
“Prometei” se descubrió por primera vez en 2020, pero evidencia posterior sugiere que ha estado presente en estado salvaje desde al menos 2016. En esos años, se ha extendido a más de 10.000 computadoras en todo el mundo, en países tan diversos como Brasil, Indonesia, Turquía y Alemania. , que la Oficina Federal de Seguridad de la Información clasifica como una amenaza de impacto medio.
“El alcance de Prometei es global debido a su enfoque en vulnerabilidades de software ampliamente utilizadas”, dice Callie Guenther, directora senior de investigación de amenazas cibernéticas en Critical Start. “La botnet se propaga a través de configuraciones débiles y sistemas sin parches, y apunta a regiones con prácticas inadecuadas de ciberseguridad. Las botnets como Prometei generalmente no discriminan por región, sino que buscan el máximo impacto explotando las debilidades sistémicas. [In this case]Las organizaciones que utilizan servidores Exchange sin parches o mal configurados corren un riesgo especial. »
Detalles de Trend Micro cómo se ve un ataque de Prometei: torpe cuando se infectó por primera vez pero sigiloso después, capaz de explotar vulnerabilidades en varios servicios y sistemas, y centrado en el criptojacking pero capaz de mucho más.
Entrada ruidosa en sistemas no amados
No espere que una infección inicial de Prometei sea terriblemente sofisticada.
El caso observado por Trend Micro comenzó con una serie de intentos fallidos de conectarse a la red desde dos direcciones IP que parecían originarse en Ciudad del Cabo, Sudáfrica, que coincidían estrechamente con la infraestructura conocida de Prometei.
Después de su primera conexión exitosa a una máquina, el malware comenzó a probar varias vulnerabilidades obsoletas que aún podrían persistir en el entorno de su objetivo. Por ejemplo, usa el viejo “azulmantener“error en el Protocolo de escritorio remoto (RDP), clasificado como “crítico” con 9,8 sobre 10 en el sistema de clasificación de vulnerabilidades comunes, para intentar lograr la ejecución remota de código (RCE). Se utiliza nuevamente el error más antiguo. azul eterno vulnerabilidad para propagarse a través del Bloque de mensajes del servidor (SMB). En sistemas Windows prueba el modelo de 3 años. Conexión proxy vulnerabilidades de escritura de archivos arbitrarios CVE-2021-27065 y CVE-2021-26858, que tienen calificaciones CVSS “altas” de 7,8.
Explotar estas viejas vulnerabilidades podría considerarse perezoso. Por otro lado, es un enfoque eficaz para eliminar los sistemas mejor equipados que pertenecen a organizaciones más activas.
“Los objetivos principales son sistemas que no han sido o no pueden ser parchados por cualquier motivo, lo que significa que no son monitoreados ni pasados por alto en los procesos de seguridad normales”, señala Mayuresh Dani, jefe de investigación de seguridad de Qualys. “Los autores de malware quieren perseguir objetivos fáciles y, en el mundo conectado de hoy, lo considero inteligente, como si supieran que sus objetivos enfrentarán múltiples problemas de seguridad”.
El fuego de Prometei
Una vez que Prometei llega a donde quiere, tiene algunos trucos para lograr sus objetivos. Utiliza un algoritmo de generación de dominio (DGA) para reforzar su infraestructura de comando y control (C2), lo que le permite continuar operando incluso si las víctimas intentan bloquear uno o más de sus dominios. Manipula los sistemas específicos para permitir que su tráfico atraviese los firewalls y se ejecuta automáticamente al reiniciar el sistema.
Un comando Prometei particularmente útil menciona el protocolo de autenticación WDigest, que almacena las contraseñas en texto sin cifrar en la memoria. WDigest generalmente está deshabilitado en los sistemas Windows modernos, por lo que Prometei fuerza estas contraseñas a texto sin formato, que luego transfiere a una biblioteca de vínculos dinámicos (DLL). Luego, otro comando de Prometei configura Windows Defender para ignorar esa DLL en particular, lo que permite que esas contraseñas se extraigan sin generar ninguna señal de alerta.
El objetivo más obvio de una infección de Prometei parece ser el cryptojacking: utilizar máquinas infectadas para ayudar a extraer la criptomoneda ultraanónima Monero sin el conocimiento de sus propietarios. Más allá de eso, descarga y configura un servidor web Apache que sirve como un shell web persistente. El web shell permite a los atacantes descargar más archivos maliciosos y ejecutar comandos arbitrarios.
Como señala Stephen Hilt, investigador senior de amenazas de Trend Micro, las infecciones por botnets a menudo también se asocian con otros tipos de ataques.
“Siempre veo a los grupos de criptominería como un canario en la mina de carbón; es un indicador de que probablemente estén sucediendo más cosas en su sistema”, dice. “Si miras nuestro blog 2021estaba LemonDuck, un grupo de ransomware, y [Prometei] todo en las mismas máquinas.”
Enlaces de Rusia
Hay una parte específica del globo que Prometei no toca.
El servidor C2 basado en Tor de la botnet está especialmente diseñado para evitar ciertos nodos de salida en ciertos países de la ex Unión Soviética. Para garantizar aún más la seguridad de los objetivos de habla rusa, tiene un componente de robo de credenciales que evita deliberadamente afectar las cuentas etiquetadas como “Invitado” u “Otro usuario” en ruso.
Las variantes más antiguas del malware contenían elementos de configuración y códigos de idioma en ruso, y el nombre “Prometei” es una traducción de “Prometheus” en varios idiomas eslavos. En el famoso mito, Zeus programa un águila para que ataque el hígado de Prometeo todos los días, pero el hígado persiste a pesar de reiniciarse cada noche.