Ботнет Prometei использует уязвимость в серверах Microsoft Exchange

Специалисты безопасности обнаружили ботнет для добычи криптовалюты, который использует все еще не исправленную уязвимость в серверах Microsoft Exchange, чтобы распространяться по всему миру.

Ботнет назвали Prometei. Впервые о нем сообщили в июле 2020 года, но считается, что он активен с 2016, согласно Cybereason Nocturnus.

Хакеры, которые им управляют, использовали уязвимости в Microsoft Exchange, чтобы проникать в сети жертв, красть учетные данные и устанавливать малварь.

Исследователи сообщают, что жертвы выбираются случайно, что делает ботнет еще более опасным. Его заметили в разных индустриях, среди которых финансовый сектор, страхование, торговля, производство, сектор коммунальных услуг, туризма и строительства.

Ботнет создан так, чтобы распространяться по сети для установки майнера Monero на как можно большее количество конечных точек. Для этого он использует эксплойты EternalBlue и BlueKeep, собирает учетные данные, использует SMB, RDP и другие компоненты.

4 отдельных сервера контроля и управления усложняют нарушение работы ботнета. Prometei также может использовать полезные загрузки на Windows или Linux, чтобы компрометировать личные устройства в зависимости от ОС, которая на них стоит.