关键词 服务器攻击
网络安全研究人员发现,针对Linux服务器进行加密货币挖矿和凭证窃取的复杂恶意软件Prometei僵尸网络近期活动显著增加。自2025年3月以来观察到的这波最新攻击活动,展现了加密货币挖矿恶意软件的演变趋势及其对全球企业基础设施构成的持续威胁。 僵尸网络双重威胁 Prometei僵尸网络是一个同时包含Linux和Windows变种的双重威胁恶意软件家族,主要目的是劫持计算资源进行门罗币(Monero)挖矿,同时窃取被入侵系统的凭证。Palo Alto Networks分析师在2025年3月发现了这波新攻击,指出相比之前版本,该恶意软件在隐蔽能力和操作复杂性方面有显著提升。 该僵尸网络采用模块化架构运行,使攻击者能够远程控制受感染系统、部署额外有效载荷并维持对被入侵网络的持久访问。最初于2020年7月发现的Windows变种率先出现,Linux版本则在2020年12月出现并持续发展至今。 多向量攻击方式 该恶意软件采用多种攻击向量,包括暴力破解凭证攻击、利用与WannaCry勒索软件相关的著名EternalBlue漏洞,以及操纵服务器消息块(SMB)协议漏洞实现在目标网络内的横向移动。这种多管齐下的方式使Prometei在获得组织系统的初始访问权限后能够迅速扩大其影响范围。 研究人员发现,Prometei行动背后的经济动机十分明显,没有证据表明该僵尸网络与国家行为体有关联。相反,这些活动表现出典型的以盈利为目的的网络犯罪企业特征,通过加密货币挖矿将被入侵基础设施变现,同时伺机收集有价值的凭证用于潜在的二次利用或在地下市场出售。 高级规避技术 当前版本采用了先进的规避技术,包括用于增强命令与控制基础设施弹性的域名生成算法(DGA),以及使恶意软件能够动态适应安全防御的自我更新能力。这些改进使传统安全解决方案的检测和缓解工作变得更加困难。
技术感染机制与传播 最新Prometei变种采用复杂的传播和解包机制,极大增加了分析难度。恶意软件通过向特定服务器 尽管文件名带有误导性的 开发者向打包的可执行文件附加了一个自定义配置JSON尾部,破坏了UPX工具定位必要元数据(包括PackHeader和overlay_offset尾部)的能力,这些元数据是成功解压所必需的。该配置尾部包含不同恶意软件版本间各异的必要操作参数。虽然版本二仅支持 成功部署后,Prometei会通过从 安全圈 网罗圈内热点 专注网络安全 实时资讯一手掌握! 好看你就分享 有用就点个赞 支持「安全圈」就点个三连吧! |
