Специалисты безопасности обнаружили ботнет для добычи криптовалюты, который использует все еще не исправленную уязвимость в серверах Microsoft Exchange, чтобы распространяться по всему миру.
Ботнет назвали Prometei. Впервые о нем сообщили в июле 2020 года, но считается, что он активен с 2016, согласно Cybereason Nocturnus.
Хакеры, которые им управляют, использовали уязвимости в Microsoft Exchange, чтобы проникать в сети жертв, красть учетные данные и устанавливать малварь.
Исследователи сообщают, что жертвы выбираются случайно, что делает ботнет еще более опасным. Его заметили в разных индустриях, среди которых финансовый сектор, страхование, торговля, производство, сектор коммунальных услуг, туризма и строительства.
Ботнет создан так, чтобы распространяться по сети для установки майнера Monero на как можно большее количество конечных точек. Для этого он использует эксплойты EternalBlue и BlueKeep, собирает учетные данные, использует SMB, RDP и другие компоненты.
4 отдельных сервера контроля и управления усложняют нарушение работы ботнета. Prometei также может использовать полезные загрузки на Windows или Linux, чтобы компрометировать личные устройства в зависимости от ОС, которая на них стоит.