Các chuyên gia của Công ty an ninh mạng Cybereason (Boston, Mỹ) cho biết: "Prometei khai thác các lỗ hổng Microsoft Exchange mới phát hiện trong các cuộc tấn công HAFNIUM để xâm nhập vào mạng nhằm phát tán mã độc, thu thập thông tin đăng nhập và thực hiện các hoạt động độc hại khác".
Được ghi nhận lần đầu bởi Cisco Talos vào tháng 7/2020, Prometei là mạng botnet đa mô-đun, khai thác các lỗ hổng đã được biết đến như EternalBlue và BlueKeep để thu thập thông tin xác thực và tăng số lượng hệ thống tham gia vào mạng khai thác Monero.
Theo đó, nhà nghiên cứu Lior Rochberger của Cybereason cho biết: Prometei có cả phiên bản dựa trên Windows và Linux, được điều chỉnh cho phù hợp với từng hệ điều hành. Botnet này được xây dựng kết nối với 4 máy chủ C&C khác nhau, giúp tăng cường cơ sở hạ tầng và duy trì liên lạc liên tục, giảm nguy cơ bị gỡ bỏ.
Tin tặc đã lợi dụng các lỗ hổng mới được vá gần đây trên Microsoft Exchange Server để khai thác Monero.
Trong chuỗi tấn công mà Cybereason quan sát được, tin tặc đã khai thác lỗ hổng CVE-2021-27065 và CVE-2021-26858 để cài web shell Chopper của Trung Quốc, từ đó xâm nhập hệ thống qua backdoor. Sau khi chiếm được quyền truy cập, tin tặc tiến hành khởi chạy PowerShell để tải xuống Prometei từ một máy chủ từ xa.
Các phiên bản gần đây của mô-đun bot đi kèm với các backdoor hỗ trợ một tệp lệnh mở rộng, bao gồm một mô-đun bổ sung có tên "Microsoft Exchange Defender" giả mạo sản phẩm của Microsoft. Mô-đun này có khả năng loại bỏ các web shell cạnh tranh khác trên máy để Prometei có quyền truy cập vào các tài nguyên cần thiết, nhằm khai thác tiền điện tử một cách hiệu quả.
Theo dấu vết trên VirusTotal, botnet này có thể đã xuất hiện vào đầu tháng 5/2016, cho thấy phần mềm độc hại đã không ngừng phát triển kể từ đó, bổ sung thêm các mô-đun và kỹ thuật mới.
Prometei nhắm tới nạn nhân trong nhiều lĩnh vực như tài chính, bảo hiểm, bán lẻ, sản xuất, tiện ích, du lịch và xây dựng, xâm phạm mạng lưới các tổ chức đặt tại Hoa Kỳ, Vương quốc Anh và một số quốc gia ở Châu Âu, Nam Mỹ và Đông Á.
Mai Hương
10:00 | 27/08/2021
10:00 | 22/12/2021
17:00 | 01/04/2022
09:00 | 06/10/2021
11:00 | 14/04/2021
15:00 | 26/05/2021
07:00 | 29/03/2021
09:00 | 02/04/2021
12:00 | 14/08/2023
Một tính năng tìm kiếm hợp pháp của Windows đang bị khai thác bởi các tác nhân độc hại không xác định để tải xuống các payload tùy ý từ các máy chủ từ xa và xâm phạm các hệ thống được nhắm mục tiêu bằng các trojan truy cập từ xa (RAT) như AsyncRAT và Remcos RAT.
10:00 | 11/08/2023
Mới đây, Daniel Moghimi, chuyên gia bảo mật của Google phát hiện ra lỗ hổng Downfall ảnh hưởng đến hàng tỉ bộ xử lý Intel trên toàn cầu hiện đang được sử dụng trên máy tính cá nhân và máy chủ đám mây.
14:00 | 14/07/2023
Trong thời gian gần đây, các trường học tại Mỹ đang trở thành mục tiêu hàng đầu của nhóm tin tặc tấn sử dụng mã độc để tống tiền. Mới đây nhất, các thông tin nhạy cảm của hàng nghìn trẻ em tại trường Công lập Mineapolis, bang Minnesota đã bị đưa lên mạng, sau khi nhóm tin tặc không đòi được tiền chuộc.
17:00 | 05/05/2023
Các hệ thống của Kaspersky đã phát hiện và ngăn chặn hơn 5 triệu cuộc tấn công lừa đảo liên quan đến tiền điện tử vào năm 2022, tăng 40% so với năm trước. Điều này cho thấy, tội phạm mạng đang dần chuyển sự chú ý từ các lĩnh vực truyền thống như ngân hàng và phần mềm độc hại di động sang các lĩnh vực mới hấp dẫn hơn bao gồm ngành công nghiệp tiền điện tử.
VMware Aria Operations for Networks là một công cụ giám sát, khám phá và phân tích mạng cũng như ứng dụng để xây dựng cơ sở hạ tầng mạng an toàn trên nền tảng điện toán đám mây cho các doanh nghiệp. Mới đây, mã khai thác PoC cho một lỗ hổng nghiêm trọng ảnh hưởng đến VMware Aria Operations for Networks đã được công bố. Hiện hãng đã phát hành các bản sửa lỗi cho lỗ hổng.
15:00 | 20/09/2023