Le Botnet Prometei Exploite les Vulnérabilités Non Corrigées de Microsoft Exchange pour sa Propagation

[post-views]
avril 30, 2021 · 5 min de lecture
Le Botnet Prometei Exploite les Vulnérabilités Non Corrigées de Microsoft Exchange pour sa Propagation

Les chercheurs en sécurité révèlent un changement significatif dans les tactiques malveillantes du botnet Prometei, qui est maintenant capable d’exploiter la faille « ProxyLogon » sur les serveurs Exchange de Windows pour pénétrer le réseau ciblé et déposer des logiciels de cryptojacking sur les machines des utilisateurs. Bien que l’objectif principal soit de miner du Monero en exploitant la puissance de calcul des instances infectées, la large fonctionnalité de Prometei permet à ses opérateurs d’exécuter une variété d’autres attaques hautement sophistiquées, comparables à la complexité des intrusions APT.

Présentation du Botnet Prometei

Prometei est un botnet de cryptojacking en plusieurs étapes capable de cibler à la fois les machines Linux et Windows. Bien qu’il ait été découvert pour la première fois en 2020, les chercheurs en sécurité pensent que Prometei a initialement émergé en 2016, évoluant secrètement et ajoutant de nouveaux modules depuis lors. Le principal objectif du botnet est d’asservir les appareils au réseau malveillant et de miner des pièces de Monero via leur puissance de calcul. Pour atteindre cet objectif, les mainteneurs de Prometei appliquent une grande variété d’outils malveillants, dont Mimikatz, la collecte de crédentiels, les exploits SMB et RDP, les diffuseurs SQL ainsi que d’autres tactiques néfastes alimentant la propagation réussie et les infections supplémentaires.

La dernière version de Prometei a reçu une mise à niveau significative permettant à la menace d’agir comme une porte dérobée furtive avec de nombreuses fonctions sophistiquées. L’ analyse de Cybereason indique que les opérateurs de Prometei peuvent désormais voler des données du réseau ciblé, infecter le terminal avec un logiciel malveillant de seconde phase, ou même s’associer à des gangs de ransomware en vendant l’accès à l’infrastructure compromise.

Bien qu’il n’existe pas beaucoup d’informations sur les mainteneurs de Prometei, les experts en sécurité pensent qu’un groupe parlant russe et motivé financièrement pourrait se cacher derrière ce projet. Une telle supposition est prouvée par le fait que le botnet évite d’infecter les utilisateurs dans la région de l’ex-Union Soviétique.

Exploitation des journées zéro Microsoft Exchange

La dernière version de Prometei a été équipée d’un ensemble de exploits zero-day récemment découverts sur Microsoft Exchange (CVE-2021-26858, CVE-2021-27065), ce qui permet aux hackers authentifiés d’écrire un fichier à n’importe quel emplacement sur le serveur Exchange vulnérable et de réaliser une exécution de code à distance. Selon Cybereason, les opérateurs du botnet s’appuient sur ces bugs pour installer et exécuter China Chopper, qui lance ensuite un PowerShell capable de télécharger la charge utile Prometei via une URL malveillante.

Notamment, les mêmes vulnérabilités Microsoft Exchange étaient activement exploitées dans la nature par le groupe APT HAFNIUM affilié à la Chine ainsi que par d’autres acteurs étatiques durant le mois de mars 2021. Bien que les mainteneurs de Prometei soient considérés comme des acteurs motivés financièrement sans lien avec des hackers sponsorisés par l’État, la large panoplie d’outils et la complexité croissante des approches malveillantes les placent sur la liste des menaces avancées posant un danger sérieux en termes de cyber-espionnage, de vol de données et de livraison de logiciels malveillants.

Campagne malveillante en cours

Selon Cybereason, l’activité en cours de Prometei est plutôt opportuniste et tente d’infecter toute instance non patchée s’appuyant sur Microsoft Exchange. La liste des cibles comprend de nombreuses entreprises travaillant dans les secteurs bancaires, des assurances, du commerce de détail et de la construction aux États-Unis, en Amérique du Sud, en Europe et en Asie de l’Est.

Une fois l’infection réalisée, Prometei lance son premier module (zsvc.exe), responsable de maintenir la persistance et d’établir une communication de commande et de contrôle (C&C) avec le serveur de l’attaquant. Ce module a de larges capacités de porte dérobée et contrôle le mineur de cryptomonnaie XMRig installé sur le PC cible. Il peut lancer des commandes telles que l’exécution de programmes, l’ouverture de fichiers, le démarrage ou l’arrêt du processus de minage, le téléchargement de fichiers, la collecte d’informations système et plus encore. Si nécessaire, les opérateurs de malwares peuvent ajouter davantage de modules pour renforcer les capacités malveillantes de Prometei et promouvoir ses fonctions bien au-delà du simple minage de Monero.

Notamment, l’exécution de Prometei lance également deux autres processus malveillants (cmd.exe et wmic.exe), qui sont utilisés pour effectuer de la reconnaissance et bloquer certaines adresses IP de communiquer avec l’appareil infecté. Cela est vraisemblablement fait pour s’assurer qu’aucun autre mineur ne soit présent sur le réseau et que toutes les ressources soient au service de Prometei.

Détection du Botnet Prometei

Pour protéger l’infrastructure de votre entreprise contre les infections du botnet Prometei, vous pouvez télécharger une règle Sigma communautaire publiée par notre développeur Threat Bounty passionné Kyaw Pyiyt Htet: 

https://tdm.socprime.com/tdm/info/G04clREUa9nu/#rule-context

La règle a des traductions pour les plateformes suivantes :

SIEM : Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, FireEye Helix

MITRE ATT&CK :

Tactiques : Évasion de la Défense, Accès aux Crédentiels

Techniques : Dumping de Crédentiels (T1003), Déguisement (T1036)

De plus, pour prévenir les éventuelles attaques utilisant les journées zéro Microsoft Exchange, vous pouvez télécharger des règles de détection sur mesure disponibles sur le Threat Detection Marketplace.

Règles couvrant l’exploitation CVE-2021-26858

Règles couvrant l’exploitation CVE-2021-27065

Abonnez-vous gratuitement au Threat Detection Marketplace pour renforcer vos capacités de défense cybernétique avec nos plus de 100 000 algorithmes de détection et requêtes de chasse aux menaces mappés aux cadres CVE et MITRE ATT&CK®. Vous êtes impatient de monétiser vos compétences en chasse aux menaces et de créer vos propres règles Sigma ? Rejoignez notre Threat Bounty Program !

Aller à la Plateforme Rejoindre Threat Bounty

Table des Matières

Cet article vous a-t-il été utile ?

Aimez-le et partagez-le avec vos collègues.
Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité des menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et générer une valeur immédiate, réservez dès maintenant une réunion avec les experts de SOC Prime.
Inscrivez-vous gratuitement Réserver une réunion

Articles connexes

Détection de CVE-2025-8088 : une faille zero-day de WinRAR exploitée dans la nature pour installer le malware RomCom 6 min de lecture Dernières Menaces Détection de CVE-2025-8088 : une faille zero-day de WinRAR exploitée dans la nature pour installer le malware RomCom by Daryna Olyniychuk Détection de l’attaque Secret Blizzard : un groupe APT soutenu par la russie cible les ambassades étrangères à Moscou avec le malware ApolloShadow 6 min de lecture Dernières Menaces Détection de l’attaque Secret Blizzard : un groupe APT soutenu par la russie cible les ambassades étrangères à Moscou avec le malware ApolloShadow by Daryna Olyniychuk CVE-2025-8292 : Vulnérabilité Use-After-Free dans Google Chrome entraînant RCE et compromission système 4 min de lecture Dernières Menaces CVE-2025-8292 : Vulnérabilité Use-After-Free dans Google Chrome entraînant RCE et compromission système by Daryna Olyniychuk
Toutes les actualités