網(wǎng)絡(luò)安全研究人員發(fā)現(xiàn)，針對(duì)Linux服務(wù)器進(jìn)行加密貨幣挖礦和憑證竊取的復(fù)雜惡意軟件Prometei僵尸網(wǎng)絡(luò)近期活動(dòng)顯著增加。自2025年3月以來(lái)觀察到的這波最新攻擊活動(dòng)，展現(xiàn)了加密貨幣挖礦惡意軟件的演變趨勢(shì)及其對(duì)全球企業(yè)基礎(chǔ)設(shè)施構(gòu)成的持續(xù)威脅。

僵尸網(wǎng)絡(luò)雙重威脅

Prometei僵尸網(wǎng)絡(luò)是一個(gè)同時(shí)包含Linux和Windows變種的雙重威脅惡意軟件家族，主要目的是劫持計(jì)算資源進(jìn)行門羅幣(Monero)挖礦，同時(shí)竊取被入侵系統(tǒng)的憑證。Palo Alto Networks分析師在2025年3月發(fā)現(xiàn)了這波新攻擊，指出相比之前版本，該惡意軟件在隱蔽能力和操作復(fù)雜性方面有顯著提升。

該僵尸網(wǎng)絡(luò)采用模塊化架構(gòu)運(yùn)行，使攻擊者能夠遠(yuǎn)程控制受感染系統(tǒng)、部署額外有效載荷并維持對(duì)被入侵網(wǎng)絡(luò)的持久訪問。最初于2020年7月發(fā)現(xiàn)的Windows變種率先出現(xiàn)，Linux版本則在2020年12月出現(xiàn)并持續(xù)發(fā)展至今。

多向量攻擊方式

該惡意軟件采用多種攻擊向量，包括暴力破解憑證攻擊、利用與WannaCry勒索軟件相關(guān)的著名EternalBlue漏洞，以及操縱服務(wù)器消息塊(SMB)協(xié)議漏洞實(shí)現(xiàn)在目標(biāo)網(wǎng)絡(luò)內(nèi)的橫向移動(dòng)。這種多管齊下的方式使Prometei在獲得組織系統(tǒng)的初始訪問權(quán)限后能夠迅速擴(kuò)大其影響范圍。

研究人員發(fā)現(xiàn)，Prometei行動(dòng)背后的經(jīng)濟(jì)動(dòng)機(jī)十分明顯，沒有證據(jù)表明該僵尸網(wǎng)絡(luò)與國(guó)家行為體有關(guān)聯(lián)。相反，這些活動(dòng)表現(xiàn)出典型的以盈利為目的的網(wǎng)絡(luò)犯罪企業(yè)特征，通過(guò)加密貨幣挖礦將被入侵基礎(chǔ)設(shè)施變現(xiàn)，同時(shí)伺機(jī)收集有價(jià)值的憑證用于潛在的二次利用或在地下市場(chǎng)出售。

高級(jí)規(guī)避技術(shù)

當(dāng)前版本采用了先進(jìn)的規(guī)避技術(shù)，包括用于增強(qiáng)命令與控制基礎(chǔ)設(shè)施彈性的域名生成算法(DGA)，以及使惡意軟件能夠動(dòng)態(tài)適應(yīng)安全防御的自我更新能力。這些改進(jìn)使傳統(tǒng)安全解決方案的檢測(cè)和緩解工作變得更加困難。

技術(shù)感染機(jī)制與傳播

最新Prometei變種采用復(fù)雜的傳播和解包機(jī)制，極大增加了分析難度。惡意軟件通過(guò)向特定服務(wù)器hxxp[://]103.41.204[.]104/k.php?a=x86_64發(fā)送HTTP GET請(qǐng)求進(jìn)行傳播，并通過(guò)參數(shù)hxxp[://]103.41.204[.]104/k.php?a=x86_64,實(shí)現(xiàn)動(dòng)態(tài)ParentID分配。

盡管文件名帶有誤導(dǎo)性的.php擴(kuò)展名，但有效載荷實(shí)際上是專門針對(duì)Linux系統(tǒng)的64位ELF可執(zhí)行文件，這是一種故意的混淆策略。惡意軟件使用UPX(Ultimate Packer for eXecutables)壓縮來(lái)減小文件大小并增加靜態(tài)分析難度。但該實(shí)現(xiàn)包含一個(gè)關(guān)鍵修改，會(huì)阻止標(biāo)準(zhǔn)UPX解壓工具正常工作。

開發(fā)者向打包的可執(zhí)行文件附加了一個(gè)自定義配置JSON尾部，破壞了UPX工具定位必要元數(shù)據(jù)(包括PackHeader和overlay_offset尾部)的能力，這些元數(shù)據(jù)是成功解壓所必需的。該配置尾部包含不同惡意軟件版本間各異的必要操作參數(shù)。雖然版本二僅支持config、id和enckey等基本字段，但較新的版本三和四增加了ParentId、ParentHostname、ParentIp和ip等參數(shù)，這些增強(qiáng)功能實(shí)現(xiàn)了更復(fù)雜的命令與控制通信以及分層僵尸網(wǎng)絡(luò)管理能力。

成功部署后，Prometei會(huì)通過(guò)從/proc/cpuinfo收集處理器信息、通過(guò)dmidecode --type baseboard命令獲取主板詳情、從/etc/os-release或/etc/redhat-release獲取操作系統(tǒng)規(guī)格、系統(tǒng)運(yùn)行時(shí)間數(shù)據(jù)以及通過(guò)uname -a命令獲取內(nèi)核信息來(lái)進(jìn)行全面的系統(tǒng)偵察。這種情報(bào)收集使惡意軟件能夠根據(jù)可用硬件資源優(yōu)化其挖礦操作，同時(shí)為攻擊者提供詳細(xì)的基礎(chǔ)設(shè)施映射以進(jìn)行潛在的橫向移動(dòng)活動(dòng)。