Prometei 殭屍網路病毒利用Windows SMB漏洞植入挖礦軟體

思科旗下安全研究部門Talos近日發現一波攻擊行動，駭客利用多種能力的殭屍網路病毒感染Windows電腦並植入挖礦軟體。

研究人員指出，這隻名為Prometei的殭屍網路病毒從今年3月開始流行，但6月才第一次被發現並分析。駭客使用多種方法來散布這隻病毒，像是竊來的SMB帳號密碼、SMB漏洞如SMBGhost、WMI（Windows Management Instrumentation）及PsExec漏洞等進入Windows 系統，此外也使用多種工具，像是EternalBlue來擴大感染範圍。

研究人員分析Prometei一共具備超過15種可執行模組，全部都由主要模組下載並控制。一旦進入受害者電腦後，主要模組會產生RAT（remote access trojan）的功能，持續和外部C&C伺服器建立HTTP連線，並以修改過的Mimikatz模組在受害電腦內搜尋管理者密碼。它蒐集到的密碼一方面經由RC4加密連線傳送到C&C伺服器，另一方面分享給其他模組，由後者經由SMB和RDP協定驗證密碼是否可用於其他系統，以便進行橫向散布。

但主要模組最主要目的是在受害電腦中植入挖礦軟體，以賺取Monero幣。此外，由於它也會蒐集比特幣電子錢包帳密，因此它可能也竊取比特幣。研究人員指出，這隻病毒使用的手法相當隱密，令受害者很難察覺，也是它3月後才現形的主因。

由連線的地點來看，受害者已遍及美國、土耳其、巴基斯坦、中國、中南美等國。雖然執法人員已在6月初查獲一臺伺服器，但研究人員研判這個殭屍網路仍然活躍，其後的駭客為單一組織，可能位於東歐。