Una nuova botnet di cryptojacking si sta diffondendo su reti compromesse tramite più metodi che includono l'exploit EternalBlue per il protocollo di comunicazione SMB (Windows Server Message Block).
L'obiettivo dell'hacker è quello di minare per la criptovaluta Monero (XMR) e ridurre in schiavitù il maggior numero possibile di sistemi per questo compito per un maggiore profitto.
Campagna complessa
I ricercatori di Cisco Talos hanno nominato la nuova botnet Prometei e hanno stabilito che l'attore è attivo da marzo. Hanno etichettato gli attacchi come una campagna complessa che si basa su malware multi-modulare.
Per passare ai computer della rete, l'attore combina binari viventi (LoLBin) come PsExec e WMI, exploit SMB e credenziali rubate.
In tutto, i ricercatori hanno contato più di 15 componenti negli attacchi Prometei, tutti gestiti dal modulo principale, che crittografa i dati (RC4) prima di inviarli al server di comando e controllo (C2) via HTTP.
“A parte una grande attenzione alla diffusione nell'ambiente, Prometei cerca anche di recuperare le password degli amministratori. Le password rilevate vengono inviate al C2 e quindi riutilizzate da altri moduli che tentano di verificare la validità delle password su altri sistemi utilizzando i protocolli SMB e RDP "
Tracciando l'attività della botnet, i ricercatori hanno notato che i suoi moduli rientrano in due categorie che hanno scopi abbastanza distinti: operazioni relative all'estrazione mineraria (far cadere il minatore, diffondersi sulla rete) e ottenere l'accesso tramite accessi a forza bruta utilizzando SMB e RDP.
La ricercatrice di malware di Cisco Talos Vanja Svajcer afferma che, sebbene le funzioni distinte e il linguaggio di programmazione (C ++ e .NET) per questi moduli possano indicare che un'altra parte sta sfruttando questa botnet, è più probabile che un singolo hacker li controlli tutti.
Prometei sta rubando le password con una versione modificata di Mimikatz (miwalk.exe). Questi passano al modulo spargitore (rdpclip.exe) per l'analisi e l'autenticazione su una sessione SMB.
Se le credenziali falliscono, lo spargitore lancia una variante dell'exploit EternalBlue per distribuire e lanciare il modulo principale (svchost.exe). Svajcer afferma che anche l'autore della botnet è a conoscenza della vulnerabilità di SMBGhost , sebbene non abbia trovato prove dell'exploit utilizzato.
L'ultimo payload fornito su un sistema compromesso è SearchIndexer.exe, che è la versione 5.5.3 del software di mining Monero open source XMRig.
Evasione e anti-analisi
Prometei è diverso dalla maggior parte delle botnet di mining. Oltre a organizzare gli strumenti in base al loro scopo nell'attacco, presenta anche attributi anti-rilevamento e di evasione dell'analisi.
Il suo autore ha aggiunto strati di crittografia dalle prime versioni del bot, che è diventato più complesso nelle varianti successive. Il modulo principale si diffonde sulla rete con vari nomi ("xsvc.exe", "" zsvc.exe ") e utilizza un packer diverso che dipende dalla decompressione corretta di un file esterno.
"Oltre a rendere più difficile l'analisi manuale, questa tecnica anti-analisi evita anche il rilevamento nei sistemi dinamici di analisi automatizzata" - Vanja Svajcer
Inoltre, Prometei può comunicare con il server C2 utilizzando anche proxy TOR o I2P per ottenere istruzioni e inviare dati rubati.
Il ricercatore afferma che il modulo principale può anche raddoppiare come trojan di accesso remoto, sebbene la funzionalità principale sia il mining di Monero e possibilmente il furto di portafogli Bitcoin.
Le vittime di Prometei si trovano negli Stati Uniti, in Brasile, Pakistan, Cina, Messico e Cile. In quattro mesi, hanno guadagnato l'attore di minaccia meno di $ 5.000, o una media di $ 1.250 al mese.
Sulla base dei metodi utilizzati per diffondersi attraverso la rete e i moduli impiegati, Svajcer ritiene che dietro Prometei possa esserci uno sviluppatore professionista probabilmente dall'Europa orientale.