Prometei приходит в сеть через дыру в MS Exchange и майнит Monero

Татьяна Никитина 23 Апреля 2021 - 15:51

...

Prometei приходит в сеть через дыру в MS Exchange и майнит Monero

Обновленные боты Prometei внедряются в сеть намеченной жертвы посредством эксплуатации недавних уязвимостей в Microsoft Exchange Server и пытаются распространиться на другие машины через уязвимые службы. Одноименный ботнет с прошлого года используется для скрытной добычи криптовалюты в Северной и Южной Америке, Западной Европе и Восточной Азии, обделяя вниманием страны бывшего СНГ.

По данным Cybereason, лежащий в основе бот-сети зловред с функционалом бэкдора существует в двух версиях — Windows и Linux. Используемые для его внедрения уязвимости, CVE-2021-27065 и CVE-2021-26858, разработчики Exchange Server закрыли в начале прошлого месяца, и благодаря широкой огласке угроза эксплойта уже устранена для 92% установок.

Анализ новейших образцов Prometei-бота показал, что вирусописатели (русскоязычные, судя по артефактам в коде) позаботились о защите своего детища. Его компоненты сохраняются в системе под именами легитимных процессов — или схожими. Чтобы обеспечить себе постоянное присутствие и бесперебойную связь с C2-сервером, вредонос создает новые ключи реестра и правила для файрвола.

Он также добавляет правила для блокировки IP-адресов, используемых другими вредоносными программами, и удаляет ассоциированные с ними веб-шеллы. Обнаружить последние Prometei помогает особый модуль, замаскированный под Microsoft Defender — он регулярно заглядывает в папку, где обычно хранятся такие скрипты. В особенности его интересует файл ExpiredPasswords.aspx, скрывающий бэкдор HyperShell группировки APT34, она же OilRig.

За добычу криптовалюты на чужих мощностях отвечает компонент на основе opensource-софта XMRig. Для самораспространения по сети Prometei использует несколько модулей, а также кастомную версию Mimikatz — для кражи паролей.

Вначале он пытается скопировать себя на другие машины через сервисы SQL и SSH (в последнем случае помимо краденых данных также используется вшитый список ходовых имен пользователя и паролей). В случае неудачи вредонос пускает в ход эксплойты EternalBlue (с принудительным откатом SMB до уязвимой версии 1) и BlueKeep.

Модульный зловред Prometei известен ИБ-сообществу с 2016 года. Исследователи время от времени находят его C2-серверы и подменяют по методу sinkhole или инициируют блокировку. Чтобы повысить жизнестойкость ботнета, его операторы год назад подняли сразу четыре командных сервера, зашив их IP-адреса в код используемой вредоносной программы. Ботоводы даже предусмотрели перенос C2 в сеть Tor для пущей скрытности: один из новейших компонентов Prometei предназначен для установки Tor-клиента, но он пока не используется.

Следующая главная новость »

Защита данных от утечек: что сегодня реально работает?
Регистрируйтесь на эфир!

Екатерина Быстрова 10 Марта 2026 - 12:53

Домашние пользователи

Mac mini M4 превратили в гигантский LEGO-кирпич

Иногда люди собирают компьютеры в корпусе побольше, иногда — в корпусе покрасивее. А иногда берут старый LEGO-кирпич с изображением компьютера, увеличивают его в десять раз и превращают в настоящую рабочую станцию. Именно так появился проект M2x2. Его автор — нидерландский дизайнер Пауль Стал из Watt IV.

Он собрал рабочий компьютер в корпусе, который повторяет форму классической детали LEGO Part 3039p23 — той самой клиновидной «компьютерной» детали, впервые выпущенной ещё в 1979 году.

Внутри вполне бодрый Mac mini M4, дополненный 7-дюймовым IPS-дисплеем. Для корпуса, помимо самого железа, понадобились 3D-печать и примерно 20 долларов на PLA-пластик.

Самое приятное в этом проекте — внимание к деталям. Пауль не просто сделал большой пластиковый «кирпич», а постарался сохранить дух оригинальной детали LEGO. По его словам, задачка была не из простых: нужно было уместить внутри полноценный Mac mini M4, экран и набор периферии, при этом не потеряв сходство с исходным дизайном.

И, судя по результату, получилось очень даже здорово. Два круглых LEGO-шипа сверху корпуса оказались не просто декоративными. Один работает как ручка управления мультимедиа — например, для регулировки громкости или переключения треков. Второй получил более современную функцию: внутри него спрятана беспроводная зарядка для Apple Watch или AirPods.

Есть и другие симпатичные мелочи. Например, на задней части корпуса сделан специальный «карман»-углубление, которое играет роль ручки, а это уже явная отсылка к старым Macintosh. А ещё у конструкции есть откидные элементы для аккуратной укладки кабеля питания. В общем, автор явно делал не просто эффектный концепт для фото, а вещь, которой самому приятно пользоваться.

Хотя M2x2 — это полноценный самодостаточный компьютер, встроенный 7-дюймовый экран всё же сложно назвать идеальным вариантом для постоянной работы в 2026 году. Поэтому в повседневном режиме Стал использует систему вместе с большим монитором LG DualUp, а встроенный дисплей в основном показывает панель Home Assistant.

Отдельно радует, что автор не стал держать проект только для себя. Он подробно рассказал о процессе создания M2x2 в блоге и даже выложил .STL-файлы для 3D-печати. Так что при желании повторить эту необычную сборку смогут и другие энтузиасты (если, конечно, под рукой есть 3D-принтер, немного терпения и любовь к странным проектам).

Защита данных от утечек: что сегодня реально работает?
Регистрируйтесь на эфир!