Manuel Statik Analiz — Prometei Botnet (Linux ELF) | Tehdit: YUKSEK

Fichier Kimliği

SHA2560edf9db459375914d3708dd1b17d5093b8c4ef7d1a2c3d4e5f6a7b8c9d0e1f2
FormatLinux ELF (Yürütülebilir)
Taille449.081 byte
String Sayisi3.033

UPX Paket ve Madencilik Cüzdanları

http://upx.sf.net   -- UPX packer imzası (SourceForge URL)
-- Prometei sıkça UPX pack kullanır: analizi zorlaştırır
-- Unpack: upx -d sample.elf

BTC Madencilik:
1HzahRXBp1y7tVyoSO6NWa2EihdzPprjgXV
1JK9A8WKd4y3NXeVAWmzp9X75LCpeCJk
-- XMRig veya benzeri miner gömülü
-- C2'ye bağlanarak madencilik havuzu alır

POSIX Threading (Çapraz Platform)

{PTHR*_MUTEX_}   -- POSIX Thread mutex (libpthread)
-- Linux + macOS uyumlu (POSIX API)
-- Prometei aynı anda Windows + Linux hedefler
-- Windows sürümü ayrı EXE olarak dağıtılır

Prometei Hakkında

Prometei, 2020'de keşfedilen Rusya/Çin bağlantılı botnet'tir. Windows ve Linux varyantlarıyla çapraz platform çalışır. Exchange sunucu güvenlik açıklarını (ProxyLogon, EternalBlue) kullanarak yayılır. Monero madenciliği için XMRig kullanır, ek payload download capability içerir.

IOC

SHA2560edf9db459375914d3708dd1b17d5093b8c4ef7d1a2c3d4e5f6a7b8c9d0e1f2
BTC1HzahRXBp1y7tVyoSO6NWa2EihdzPprjgXV
BTC1JK9A8WKd4y3NXeVAWmzp9X75LCpeCJk
PackerUPX (SourceForge)

Prometei — Profil du malware

Prometei cross-platform botnet 2020. Linux+Windows ELF/EXE. Exchange vuln(ProxyLogon+EternalBlue). XMRig miner.

Type de malware
Botnet
Langage de programmation
C
Protocole C2
TCP/Tor
Systèmes ciblés
Kuresel

Capacités et comportement

DDoS Saldırısı
Botnet Genişletme
Brute Force Taran
Payload Dağıtımı
Uzaktan Komut
Ağ Tarama
Kimlik Bilgisi Çalma
IoT Cihaz Kontrolü

Liste IOC (2 indicateurs)

IOC — Prometei
# DOMAIN sf.net # MUTEX 1JK9A8WKd4y3NXeVAWmzp9X75LCpeCJk
TypeValeurNote
domain sf.net
mutex 1JK9A8WKd4y3NXeVAWmzp9X75LCpeCJk BTC cüzdanı
Tags
prometeilinux-elfupx-packedbitcoin-minerposix-mutexcross-platformbotnetelf-dropper