Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Cybereason finalise un rapport sur le botnet de crypto-monnaies Prometei

avril 2021 par Cybereason

L’équipe Nocturnus de Cybereason vient de finaliser un rapport sur le botnet Prometei. Ce botnet de crypto-monnaies modulaire et multi-étapes touche des entreprises dans le monde entier en exploitant des vulnérabilités de Microsoft Exchange. Prometei a été découvert pour la première fois en juillet 2020, mais d’après Cybereason, ce botnet pourrait remonter à 2016 et a évolué depuis (avec de nouveaux modules et de nouvelles techniques). Des entreprises des États-Unis, du Royaume-Uni, d’Espagne, d’Allemagne, de France et d’Italie sont touchées, ainsi que d’autres en Amérique du Sud et en Asie du Sud-Est. Il est connu que le groupe Prometei est motivé financièrement et exploité par des individus russophones, mais qu’il n’est pas soutenu par un État-nation.

Les principales conclusions de ce rapport sont :

• Prometei exploite les vulnérabilités de Microsoft Exchange récemment divulguées et associées aux attaques HAFNIUM afin de pénétrer dans le réseau pour déployer des logiciels malveillants, récolter des informations d’identification, etc.

• Prometei ne cible pas un type de victimes, mais les cibles sont assez aléatoires et opportunistes, ce qui rend le botnet encore plus dangereux et répandu. Promotei est notamment actif dans les secteurs de la finance, l’assurance, le commerce, la fabrication, les services publics, les voyages et la construction.

• L’objectif principal de Prometei est d’installer le composant mineur de Monero sur le plus grand nombre possible de endpoints. Pour cela, le botnet doit se propager sur le réseau et utilise donc de nombreuses techniques telles que les exploits connus EternalBlue et BlueKeep, la récolte d’informations d’identification, l’exploitation de SMB et RDP, et d’autres composants, tels que le client SSH et le propagateur SQL.

• Prometei possède des versions basées sur Windows et sur Linux-Unix, et il ajuste sa charge utile en fonction du système d’exploitation détecté sur les machines infectées ciblées lors de la propagation sur le réseau.

• Prometei est construit pour interagir avec quatre serveurs de commande et de contrôle (C2) différents, ce qui renforce l’infrastructure du botnet et maintient des communications continues, le rendant plus résistant.




Voir les articles précédents

    

Voir les articles suivants