One Article Review
| Source |  RiskIQ |
|---|---|
| Identifiant | 8601738 |
| Date de publication | 2024-10-25 16:50:12 (vue: 2024-10-25 17:07:17) |
| Titre | Unmasking Prometei: A Deep Dive Into Our MXDR Findings |
| Texte | ## Instantané Le Botnet ProMetei, actif depuis 2016 et mis à jour vers la version 3 fin 2022, a infecté plus de 10 000 systèmes dans le monde, en particulier au Brésil, en Indonésie et en Turquie.Il est principalement utilisé pour l'exploration de crypto-monnaie (principalement monero) et le vol d'identification, se propageant en exploitant des vulnérabilités comme Bluekeed ([CVE-2019-0708] (https://security.microsoft.com/intel-profiles/cve-2019-0708)) et Microsoft Exchange Server Vulnérabilités ([CVE-2021-26855] (https://security.microsoft.com/intel-explorer/cves/cve-2021-26855/) et [CVE-2021-27065] (https://security.microsoft.com/intel-explorer/cves/cve-2021-27065/)), ainsi que des attaques de force brute et des défauts RDP / SMB. ## Description PromETEI utilise des techniques d'évasion sophistiquées, telles que l'utilisation de scripts PowerShell, un serveur Web Apache groupé et un algorithme de génération de domaine (DGA) pour l'auto-mise à jour.Il manipule les services système et les règles de pare-feu pour garantir la persistance et utilise des charges utiles codées pour le mouvement latéral via le réseau. Le logiciel malveillant de Botnet \\ déploie également des composants d'attaque supplémentaires et des connexions SSH pour masquer les activités, en connectant les machines infectées à un pool minier.Ses modules remplissent des fonctions comme le vol de mot de passe, la récolte des informations d'identification et la propagation via SSH.Les acteurs de la menace derrière ProMetei seraient russophones, indiqués par les paramètres linguistiques et leur évitement d'infecter les systèmes russes. ## Recommandations Appliquez ces atténuations pour réduire l'impact de cette menace.Vérifiez la carte de recommandations pour l'état de déploiement des atténuations surveillées. - Machines exécutant Windows 7, Windows Server 2008 et Windows Server 2008 R2 devraient appliquer des mises à jour de sécurité pour [CVE-2019-0708] (https://portal.msrc.microsoft.com/en-us/security-uidance/advisory/CVE-2019-0708). - Pour identifier l'état de correction des machines Windows 7, utilisez la carte d'atténuation d'atténuation.Sélectionnez une zone dans le graphique pour interroger les machines dans la chasse avancée. - Les clients exécutant des versions plus récentes de leurs systèmes d'exploitation, Windows 8.1 et plus récents, ne sont pas vulnérables. - Les clients qui n'allument pas les services de bureau à distance ne sont pas exposés aux exploits pour cette vulnérabilité. - Activer l'authentification au niveau du réseau (NLA) pour les services de bureau à distance.Cela aidera à atténuer les attaques en modifiant l'exigence d'exploitation à partir d'un accès non authentifié à un accès authentifié. - Réduisez le risque de machines exposées à Internet avec RDP activées en les plaçant derrière une passerelle authentifiée ou un pare-feu. - Allumez la protection livrée par le cloud et la soumission automatique des échantillons sur Microsoft Defender Antivirus.Ces capacités utilisent l'intelligence artificielle et l'apprentissage automatique pour identifier et arrêter rapidement les menaces nouvelles et inconnues. ## Détections / requêtes de chasse ### Microsoft Defender Antivirus Les détections d'antivirus Microsoft Defender suivantes peuvent indiquer l'exploitation de cette vulnérabilité et la présence des charges utiles de mineur de monnaie installées sur des systèmes compromis.Ces détections peuvent tirer pour d'autres activités suspectes mais sans rapport et ne sont pas surveillées dans le cadre de ce rapport: - [Comportement: gagner32 / généricinjectEDreMoteThreadspoolsv] (https://www.microsoft.com/en-us/wdsi/atherets/malware-encycopedia-desCription? Name = comportement: win32 / généricinjectEDRemoteThreadspoolsv & menaceID = -2147224433) (comportement d'exploitation) - [Trojan: Win32 / Defensevasion! Bv] (https://www.microsoft.com/en-us/wdsi/Threats/Malware |
| Notes | ★★ |
| Envoyé | Oui |
| Condensat | ### **© 000 0708 2008 2016 2019 2021 2022 2024 2024** 2147224433 2147225962 26855 26855/ 27065 27065/ abusing access accessed active activities activity actors additional advanced alert alerts algorithm all along also antivirus any apache apply are area artificial associated attack attacks authenticated authentication automatic avoidance behavior behavior:win32/genericinjectedremotethreadspoolsv behind believed bluekeep botnet brazil brute bundled but bv&threatid= can capabilities card center changing chart check cloud coin com/en com/intel common components compromised connecting connections content copyright credential cryptocurrency customers cve deep defender delivered deployment deploys description desktop detections detections/hunting dga distribution dive domain don employs enable enabled encoded encyclopedia endpoint ensure evasion exchange exploit exploitation exploiting exploits explorer/cves/cve exposed findings fire firewall flags flaws following force for from functions gateway generation guidance/advisory/cve harvesting has help hide html https://portal https://security https://www hunting identify impact indicate indicated indonesia infected infecting installed intelligence internet its known language late lateral learning level like machine machines mainly malware manipulates micro microsoft might miner mining mitigate mitigation mitigations modules monero monitored movement msrc mxdr name=behavior:win32/genericinjectedremotethreadspoolsv&threatid= name=trojan:win32/defenseevasion network network: new newer nla not number operating other outbound over part particularly password patching payload payloads perform permission persistence placing pool port powershell presence primarily profiles/cve prohibited prometei prometei: protection queries query quickly rce rdp rdp/smb recommendations reduce references related remote report report: reproduction requirement reserved rights risk rules running russian sample scanning scripts security select self server services settings should since site snapshot sophisticated speaking spikes spreading ssh status stealing stop submission such suspicious system systems tcp/3389 techniques theft them thereof these threat threats through titles traffic trend trendmicro trojan:win32/defenseevasion turkey turn unauthenticated unknown unmasking unrelated updated updates updating us/research/24/j/unmasking us/security us/wdsi/threats/malware use used uses using version versions vulnerabilities vulnerability vulnerable web will windows without worldwide worm written your |
| Tags | Malware Vulnerability Threat Patching Prediction |
| Stories | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.