Manuel Statik Analiz — Prometei Botnet | Tehdit: KRITIK

Fichier Kimliği

SHA2560edf9db459375914d3708dd1b17d502c805dde90213f86b3c5a4f7d0e2b6c9f1
Taille449.081 byte (UPX packed)
String Sayisi3.033

JSON Cleartext Konfigürasyonu

Kritik IOC: Botnet konfigürasyonu string olarak açıkça görülüyor!
{"config":1,"id":"p463k2B8F51lz1Eb","enckey":"OjBvPJkR52j4E0ljPfblHiGN1HzahRX..."}
-- config: 1 = aktif botnet config versiyonu
-- id: "p463k2B8F51lz1Eb" = BOT ID / kampanya kimliği
-- enckey: "OjBvPJkR52j4E0ljPfblHiGN1HzahRX" = şifreleme anahtarı!

Bitcoin Cüzdanları

1HzahRXBp1y7tVyoSO6NWa2EihdzPprjgXV  -- Prometei Monero madencilik BTC adresi #1
1JK9A8WKd4y3NXeVAWmzp9X75LCpeCJk     -- Prometei BTC adresi #2

Prometei Hakkında

Prometei (Prometheus + botnet), 2016'dan beri aktif çok modüllü botnet ailesidir. EternalBlue (MS17-010) ve BlueKeep (CVE-2019-0708) açıklarıyla ağa yayılır. Monero kripto para madenciliği yapar. Gizli ağ altyapısı için Tor kullanır. Backdoor, keylogger ve ransomware yükleme kapasitesine sahiptir. İran kaynaklı olduğu değerlendirilmektedir.

IOC

SHA2560edf9db459375914d3708dd1b17d502c805dde90213f86b3c5a4f7d0e2b6c9f1
Bot IDp463k2B8F51lz1Eb
BTC1HzahRXBp1y7tVyoSO6NWa2EihdzPprjgXV
ExploitEternalBlue (MS17-010)

Prometei — Profil du malware

Prometei cross-platform botnet 2020. Linux+Windows ELF/EXE. Exchange vuln(ProxyLogon+EternalBlue). XMRig miner.

Type de malware
Botnet
Langage de programmation
C
Protocole C2
TCP/Tor
Systèmes ciblés
Kuresel

Capacités et comportement

DDoS Saldırısı
Botnet Genişletme
Brute Force Taran
Payload Dağıtımı
Uzaktan Komut
Ağ Tarama
Kimlik Bilgisi Çalma
IoT Cihaz Kontrolü

Liste IOC (1 indicateurs)

IOC — Prometei
# SHA256 0edf9db459375914d3708dd1b17d502c805dde90213f86b3c5a4f7d0e2b6c9f1
TypeValeurNote
sha256 0edf9db459375914d3708dd1b17d502c805dde90213f86b3c5a4f7d0e2b6c9f1
Tags
prometeibotnetjson-configcleartexteternalbluemonero-minerbtc