網(wǎng)絡(luò)安全研究人員發(fā)現(xiàn)，針對Linux服務(wù)器進(jìn)行加密貨幣挖礦和憑證竊取的復(fù)雜惡意軟件Prometei僵尸網(wǎng)絡(luò)近期活動顯著增加。自2025年3月以來觀察到的這波最新攻擊活動，展現(xiàn)了加密貨幣挖礦惡意軟件的演變趨勢及其對全球企業(yè)基礎(chǔ)設(shè)施構(gòu)成的持續(xù)威脅。

僵尸網(wǎng)絡(luò)雙重威脅

Prometei僵尸網(wǎng)絡(luò)是一個同時包含Linux和Windows變種的雙重威脅惡意軟件家族，主要目的是劫持計算資源進(jìn)行門羅幣(Monero)挖礦，同時竊取被入侵系統(tǒng)的憑證。Palo Alto Networks分析師在2025年3月發(fā)現(xiàn)了這波新攻擊，指出相比之前版本，該惡意軟件在隱蔽能力和操作復(fù)雜性方面有顯著提升。

該僵尸網(wǎng)絡(luò)采用模塊化架構(gòu)運行，使攻擊者能夠遠(yuǎn)程控制受感染系統(tǒng)、部署額外有效載荷并維持對被入侵網(wǎng)絡(luò)的持久訪問。最初于2020年7月發(fā)現(xiàn)的Windows變種率先出現(xiàn)，Linux版本則在2020年12月出現(xiàn)并持續(xù)發(fā)展至今。

多向量攻擊方式

該惡意軟件采用多種攻擊向量，包括暴力破解憑證攻擊、利用與WannaCry勒索軟件相關(guān)的著名EternalBlue漏洞，以及操縱服務(wù)器消息塊(SMB)協(xié)議漏洞實現(xiàn)在目標(biāo)網(wǎng)絡(luò)內(nèi)的橫向移動。這種多管齊下的方式使Prometei在獲得組織系統(tǒng)的初始訪問權(quán)限后能夠迅速擴(kuò)大其影響范圍。

研究人員發(fā)現(xiàn)，Prometei行動背后的經(jīng)濟(jì)動機(jī)十分明顯，沒有證據(jù)表明該僵尸網(wǎng)絡(luò)與國家行為體有關(guān)聯(lián)。相反，這些活動表現(xiàn)出典型的以盈利為目的的網(wǎng)絡(luò)犯罪企業(yè)特征，通過加密貨幣挖礦將被入侵基礎(chǔ)設(shè)施變現(xiàn)，同時伺機(jī)收集有價值的憑證用于潛在的二次利用或在地下市場出售。

高級規(guī)避技術(shù)

當(dāng)前版本采用了先進(jìn)的規(guī)避技術(shù)，包括用于增強(qiáng)命令與控制基礎(chǔ)設(shè)施彈性的域名生成算法(DGA)，以及使惡意軟件能夠動態(tài)適應(yīng)安全防御的自我更新能力。這些改進(jìn)使傳統(tǒng)安全解決方案的檢測和緩解工作變得更加困難。

技術(shù)感染機(jī)制與傳播

最新Prometei變種采用復(fù)雜的傳播和解包機(jī)制，極大增加了分析難度。惡意軟件通過向特定服務(wù)器hxxp[://]103.41.204[.]104/k.php?a=x86_64發(fā)送HTTP GET請求進(jìn)行傳播，并通過參數(shù)hxxp[://]103.41.204[.]104/k.php?a=x86_64,實現(xiàn)動態(tài)ParentID分配。

盡管文件名帶有誤導(dǎo)性的.php擴(kuò)展名，但有效載荷實際上是專門針對Linux系統(tǒng)的64位ELF可執(zhí)行文件，這是一種故意的混淆策略。惡意軟件使用UPX(Ultimate Packer for eXecutables)壓縮來減小文件大小并增加靜態(tài)分析難度。但該實現(xiàn)包含一個關(guān)鍵修改，會阻止標(biāo)準(zhǔn)UPX解壓工具正常工作。

開發(fā)者向打包的可執(zhí)行文件附加了一個自定義配置JSON尾部，破壞了UPX工具定位必要元數(shù)據(jù)(包括PackHeader和overlay_offset尾部)的能力，這些元數(shù)據(jù)是成功解壓所必需的。該配置尾部包含不同惡意軟件版本間各異的必要操作參數(shù)。雖然版本二僅支持config、id和enckey等基本字段，但較新的版本三和四增加了ParentId、ParentHostname、ParentIp和ip等參數(shù)，這些增強(qiáng)功能實現(xiàn)了更復(fù)雜的命令與控制通信以及分層僵尸網(wǎng)絡(luò)管理能力。

成功部署后，Prometei會通過從/proc/cpuinfo收集處理器信息、通過dmidecode --type baseboard命令獲取主板詳情、從/etc/os-release或/etc/redhat-release獲取操作系統(tǒng)規(guī)格、系統(tǒng)運行時間數(shù)據(jù)以及通過uname -a命令獲取內(nèi)核信息來進(jìn)行全面的系統(tǒng)偵察。這種情報收集使惡意軟件能夠根據(jù)可用硬件資源優(yōu)化其挖礦操作，同時為攻擊者提供詳細(xì)的基礎(chǔ)設(shè)施映射以進(jìn)行潛在的橫向移動活動。