Actualités

Prometei : la saignée insécuritaire continue pour les vulnérabilités ProxyLogon sous Microsoft Exchange via l’avènement d’un nouveau botnet !

Et cela continue encore et encore… Une fois de plus et malgré les nombreuses atténuations ou patchs correctifs mis à disposition des administrateurs-systèmes ou détenteurs de solutions Exchange, les vulnérabilités ProxyLogon perdurent en terme d’exploit ; dernier méfait en date : l’avènement d’un nouveau botnet nommé Prometei…

 

 

Prometei est un botnet de crypto-monnaie modulaire et à plusieurs étapes qui a été découvert pour la première fois en juillet 2020 et qui a à la fois des versions Windows et Linux. Pour atteindre leur objectif d’extraction de pièces Monero, Prometei utilise différentes techniques et outils, allant de Mimikatz aux exploits SMB et RDP et à d’autres outils qui fonctionnent tous ensemble pour se propager sur le réseau. Bien que Prometei ait été officiellement découvert à la mi-2020, l’équipe Cybereason Nocturnus a trouvé des preuves que Prometei pourrait remonter à 2016 et évolue depuis, ajoutant de nouveaux modules et techniques à ses capacités. Les dernières versions de Prometei fournissent désormais aux attaquants une porte dérobée sophistiquée et furtive qui prend en charge un large éventail de tâches“, indique le billet sécuritaire de l’équipe CyberReason, le 22 Avril 2021.

 

Prometei se love au sein des exploits CVE-2021-27065 et CVE-2021-26858 pour installer un webShell (China Chopper) tout en prenant des précautions pour éliminer tout résidu dans le code via la suppression des lignes de type ASPX. Une fois cette étape franchie, un PowerShell sera utilisé pour télécharger une charge virale depuis une URL spécifique. Une fois la charge virale acquise, celle-ci est enregistrée sous le lecteur principal Windows avant d’être exécutée, ce qui enclenche, de ce fait, Prometei. Entre-autres, un outil principal (SQHOST.EXE) ou module est utilisé en tant que point d’entrée pour installer une porte dérobée via une attaque command-and-control.

 

Statistiques, vérification des ports, mise à jour, exécution automatique (programmation), initialisation ou finalisation voire, surtout, initialisation du data-mining (minage de crypto-monnaie) : le(s) outils de ce(s) serveur(s) est-sont nombreux. Concernant le minage, SearchIndexer.exe est exploité (logiciel open-source Monero – XMRig miner) en s’instillant depuis desktop.dat “en tant que paramètre“, souligne CyberReason. De nombreux éléments sont exploités, par ailleurs, comme Netwalker sous la forme d’une archive 7Z protégée par mot de passe ou encore Rdpclip qui viendra préparer le terrain pour NetHelper, des requêtes SQLs, le client SSH voire Windrlver. Ce dernier (issu de l’archive Netwalker) se faufile également au sein du système en tant que paramètre et sert à prédire ou définir les combinaisons de pseudos et mots de passe  via une liste prédéfinie et / ou créées à partir d’identifiants volés. A noter que les plus basiques ou les plus probables (12345, admin…) sont tentés, ce qui rappellera de l’importance de ne PAS choisir des mots de passe simples mais complexes ou générés (encore mieux) par un gestionnaire de mots de passe… A veiller !

 

 

Source : blog CyberReason – 22 Avril 2021 – Prometei : nouveau bot (modus operandi).




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-1: :+1: :) :( 8-O 8)

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2021 - v1.11.4a