Spcnet
Una nuova botnet di cryptojacking si sta diffondendo su reti compromesse tramite più metodi che includono l'exploit EternalBlue per il protocollo di comunicazione SMB (Windows Server Message Block).
L'obiettivo dell'hacker è quello di minare per la criptovaluta Monero (XMR) e ridurre in schiavitù il maggior numero possibile di sistemi per questo compito per un maggiore profitto.
Campagna complessa
I ricercatori di Cisco Talos hanno nominato la nuova botnet Prometei e hanno stabilito che l'attore è attivo da marzo. Hanno etichettato gli attacchi come una campagna complessa che si basa su malware multi-modulare.
Per passare ai computer della rete, l'attore combina binari viventi (LoLBin) come PsExec e WMI, exploit SMB e credenziali rubate.
In tutto, i ricercatori hanno contato più di 15 componenti negli attacchi Prometei, tutti gestiti dal modulo principale, che crittografa i dati (RC4) prima di inviarli al server di comando e controllo (C2) via HTTP.
“A parte una grande attenzione alla diffusione nell'ambiente, Prometei cerca anche di recuperare le password degli amministratori. Le password rilevate vengono inviate al C2 e quindi riutilizzate da altri moduli che tentano di verificare la validità delle password su altri sistemi utilizzando i protocolli SMB e RDP "
Tracciando l'attività della botnet, i ricercatori hanno notato che i suoi moduli rientrano in due categorie che hanno scopi abbastanza distinti: operazioni relative all'estrazione mineraria (far cadere il minatore, diffondersi sulla rete) e ottenere l'accesso tramite accessi a forza bruta utilizzando SMB e RDP.
La ricercatrice di malware di Cisco Talos Vanja Svajcer afferma che, sebbene le funzioni distinte e il linguaggio di programmazione (C ++ e .NET) per questi moduli possano indicare che un'altra parte sta sfruttando questa botnet, è più probabile che un singolo hacker li controlli tutti.
Prometei sta rubando le password con una versione modificata di Mimikatz (miwalk.exe). Questi passano al modulo spargitore (rdpclip.exe) per l'analisi e l'autenticazione su una sessione SMB.
Se le credenziali falliscono, lo spargitore lancia una variante dell'exploit EternalBlue per distribuire e lanciare il modulo principale (svchost.exe). Svajcer afferma che anche l'autore della botnet è a conoscenza della vulnerabilità di SMBGhost , sebbene non abbia trovato prove dell'exploit utilizzato.
L'ultimo payload fornito su un sistema compromesso è SearchIndexer.exe, che è la versione 5.5.3 del software di mining Monero open source XMRig.
Evasione e anti-analisi
Prometei è diverso dalla maggior parte delle botnet di mining. Oltre a organizzare gli strumenti in base al loro scopo nell'attacco, presenta anche attributi anti-rilevamento e di evasione dell'analisi.
Il suo autore ha aggiunto strati di crittografia dalle prime versioni del bot, che è diventato più complesso nelle varianti successive. Il modulo principale si diffonde sulla rete con vari nomi ("xsvc.exe", "" zsvc.exe ") e utilizza un packer diverso che dipende dalla decompressione corretta di un file esterno.
"Oltre a rendere più difficile l'analisi manuale, questa tecnica anti-analisi evita anche il rilevamento nei sistemi dinamici di analisi automatizzata" - Vanja Svajcer
Inoltre, Prometei può comunicare con il server C2 utilizzando anche proxy TOR o I2P per ottenere istruzioni e inviare dati rubati.
Il ricercatore afferma che il modulo principale può anche raddoppiare come trojan di accesso remoto, sebbene la funzionalità principale sia il mining di Monero e possibilmente il furto di portafogli Bitcoin.
Le vittime di Prometei si trovano negli Stati Uniti, in Brasile, Pakistan, Cina, Messico e Cile. In quattro mesi, hanno guadagnato l'attore di minaccia meno di $ 5.000, o una media di $ 1.250 al mese.
Sulla base dei metodi utilizzati per diffondersi attraverso la rete e i moduli impiegati, Svajcer ritiene che dietro Prometei possa esserci uno sviluppatore professionista probabilmente dall'Europa orientale.
L'autore