Manuel Statik Analiz — Prometei Botnet (Linux ELF) | Tehdit: YUKSEK

Файл Kimliği

SHA2560edf9db459375914d3708dd1b17d5093b8c4ef7d1a2c3d4e5f6a7b8c9d0e1f2
FormatLinux ELF (Yürütülebilir)
Размер449.081 byte
String Sayisi3.033

UPX Paket ve Madencilik Cüzdanları

http://upx.sf.net   -- UPX packer imzası (SourceForge URL)
-- Prometei sıkça UPX pack kullanır: analizi zorlaştırır
-- Unpack: upx -d sample.elf

BTC Madencilik:
1HzahRXBp1y7tVyoSO6NWa2EihdzPprjgXV
1JK9A8WKd4y3NXeVAWmzp9X75LCpeCJk
-- XMRig veya benzeri miner gömülü
-- C2'ye bağlanarak madencilik havuzu alır

POSIX Threading (Çapraz Platform)

{PTHR*_MUTEX_}   -- POSIX Thread mutex (libpthread)
-- Linux + macOS uyumlu (POSIX API)
-- Prometei aynı anda Windows + Linux hedefler
-- Windows sürümü ayrı EXE olarak dağıtılır

Prometei Hakkında

Prometei, 2020'de keşfedilen Rusya/Çin bağlantılı botnet'tir. Windows ve Linux varyantlarıyla çapraz platform çalışır. Exchange sunucu güvenlik açıklarını (ProxyLogon, EternalBlue) kullanarak yayılır. Monero madenciliği için XMRig kullanır, ek payload download capability içerir.

IOC

SHA2560edf9db459375914d3708dd1b17d5093b8c4ef7d1a2c3d4e5f6a7b8c9d0e1f2
BTC1HzahRXBp1y7tVyoSO6NWa2EihdzPprjgXV
BTC1JK9A8WKd4y3NXeVAWmzp9X75LCpeCJk
PackerUPX (SourceForge)

Prometei — Профиль вредоносного ПО

Prometei cross-platform botnet 2020. Linux+Windows ELF/EXE. Exchange vuln(ProxyLogon+EternalBlue). XMRig miner.

Тип вредоносного ПО
Botnet
Язык программирования
C
C2 Протокол
TCP/Tor
Целевые системы
Kuresel

Возможности и поведение

DDoS Saldırısı
Botnet Genişletme
Brute Force Taran
Payload Dağıtımı
Uzaktan Komut
Ağ Tarama
Kimlik Bilgisi Çalma
IoT Cihaz Kontrolü

Список IOC (2 индикаторов)

IOC — Prometei
# DOMAIN sf.net # MUTEX 1JK9A8WKd4y3NXeVAWmzp9X75LCpeCJk
ТипЗначениеПримечание
domain sf.net
mutex 1JK9A8WKd4y3NXeVAWmzp9X75LCpeCJk BTC cüzdanı
Теги
prometeilinux-elfupx-packedbitcoin-minerposix-mutexcross-platformbotnetelf-dropper