2025 年 3 月,Palo Alto Networks Unit 42 的研究人员发现了 Prometei 僵尸网络的卷土重来,这是一种复杂的模块化恶意软件系统,于 2020 年首次被发现。虽然历史上在 Windows 系统上很活跃,但最新一波重新引入了一种更隐蔽、功能更强大的 Linux 变体——专为门罗币加密货币挖掘、凭证盗窃和无声横向移动而设计。
Prometei 是指僵尸网络及其相关的恶意软件家族。自 2020 年 7 月以来,该僵尸网络一直活跃,已从简单的门罗币挖矿程序演变为具有高级持久性、利用和侦察功能的多阶段、跨平台威胁。
根据 Unit 42:
“这个恶意软件家族……允许攻击者远程控制受感染的系统进行加密货币挖掘(尤其是门罗币)和凭据盗窃。
Prometei 的架构是模块化的,具有不同的组件负责特定任务,例如:
- 暴力破解管理员凭据利用漏洞(例如 SMB 协议缺陷、EternalBlue)挖掘 门罗币窃取系统和用户凭据通过域生成算法 (DGA) 与其 C2 基础设施通信
它的自我更新功能确保它可以逃避检测并快速适应防御变化:
“Prometei 使用 DGA 和自我更新功能来创建有弹性和自适应的恶意软件。”
最新的示例(版本 3 和 4)与版本 2 (最后一次出现于 2021 年)有很大不同:
- 作为伪装成 k.php 的 UPX 打包的 ELF 可执行文件分发使用附加到二进制文件的自定义 JSON 尾部进行配置通过 ParentID、ParentHostname 和 ParentIp 值使用动态 C2 分配
有趣的是,由于故意混淆,恶意软件无法使用标准 UPX 工具解压缩:
“恶意软件附加的自定义配置 JSON 尾部会中断此过程……导致 UPX 工具错误地确定该文件不是有效的 UPX 存档。
僵尸网络使用以下命令从受感染的 Linux 计算机中收集详细的系统信息:
- /proc/cpuinfo (CPU)dmidecode –type 底板(主板)uname -a (内核)正常运行时间(系统寿命)
所有这些都通过 HTTP GET 泄露到 C2 服务器,网址为:
Prometei 样品通过以下方式分发:
基础设施由位于印度尼西亚雅加达的 Infinys Network (ASN 58397) 托管。
尽管文件扩展名k.php,但有效负载不是 PHP 脚本,而是另一层欺骗。
“尽管该文件被命名为 k.php,但它并不是 PHP 脚本,可能是一种进一步掩盖其真实性质的策略。”
Unit 42 的研究人员强调了分析最近 Prometei 样本的复杂性。在分析之前,恶意软件必须:
- 剥离 JSON 尾部使用自定义方法解包重新连接其原始拖车以进行执行测试
这个过程凸显了恶意软件日益复杂,将传统压缩与定制的反分析技术相结合。
虽然 Prometei 展示了类似 APT 的复杂性,但 Unit 42 没有发现与民族国家运作的联系。该僵尸网络仍然以经济动机为动机,主要专注于门罗币挖矿和可能出售收获的凭证。
“我们评估认为,Prometei 的运营似乎是由经济利益驱动的,没有证据表明与民族国家行为者有联系。”
