เจ้า Malware Botnets ตัวใหม่ที่ชื่อว่า “Prometei” มีการแพร่กระจายมากกว่า 10,000 ระบบทั่วโลก ตั้งแต่เดือนพฤศจิกายน 2565 ที่ผ่านมา ส่วนใหญ่มักจะเจอในบราซิล อินโดนีเซีย และตุรกี

“Prometei” ซึ่งพบครั้งแรกในปี 2559 เป็น Botnets แบบ ที่มีวิธีการแพร่กระจายหลายวิธี บางวิธีมีการใช้ประโยชน์จากข้อบกพร่องของ Proxy Logon Microsoft Exchange Server นอกจากนี้ยังโดดเด่นในการหลีกเลี่ยงการโจมตี

แรงจูงใจของ Botnets ข้ามแพลตฟอร์มคือเรื่องการเงิน โดยหลักแล้วจะใช้ประโยชน์จากกลุ่มโฮสต์ที่ติดไวรัสเพื่อขุด Cryptocurrency และข้อมูลส่วนตัว

Prometei รุ่นล่าสุด (เรียกว่า v3) มีปรับปรุงคุณสมบัติเพื่อหลบเลี่ยงและเจาะเข้าถึงเครื่องของเหยื่อเพิ่มเติม Cisco Talos กล่าวในรายงานที่แชร์ให้กับ The Hacker News

ลำดับการโจมตีดำเนินไปดังนี้: เมื่อตั้งหลักได้สำเร็จ คำสั่ง PowerShell จะถูกดำเนินการเพื่อดาวน์โหลด Malware Botnets จากเซิร์ฟเวอร์ที่อยู่ระยะไกล จากนั้นโมดูลหลักของ Prometei จะถูกใช้เพื่อเรียกลักลอบขุด crypto ในระบบ

โมดูลบางส่วนเผยแพร่มัลแวร์ ผ่าน Remote Desktop Protocol ( RDP ) Secure Shell ( SSH ) และ Server Message Block ( SMB )

Prometei v3 ยังมีความสามารถสร้างโดเมน (DGA) เพื่อสร้างคำสั่งและการควบคุม นอกจากนี้ยังมีกลไกการอัปเดตตัวเองและชุดคำสั่งเพิ่มเติมเพื่อรวบรวมข้อมูลและสั่งการไปยังต้นทาง

สุดท้าย แต่ไม่ท้ายสุด Prometei สามารถปรับใช้เซิร์ฟเวอร์เว็บ Apache ที่ใช้ PHP ซึ่งสามารถเข้ารหัส Base64 และดำเนินการอัปโหลดไฟล์ได้ด้วย

ตามข่าวสารหรือสาระความรู้แวดวง IT ได้ที่ Avery it tech “เพราะ เรื่องIT อยู่รอบๆตัวคุณ”

ขอบคุณแหล่งที่มา : https://thehackernews.com/2023/03/new-version-of-prometei-botnet-infects.html