Source: https://www.securityweek.com/prometei-botnet-activity-spikes/
🛡 概要
プロメテイボットネットは、2020年7月に発見されたモジュール型のマルウェアであり、最近その活動が急増しています。特に、暗号通貨マイニングや認証情報の窃取を目的として、WindowsおよびLinuxシステムをターゲットにしています。最新のバージョンは、バックドア機能や自己更新機能を含むようになり、コマンド&コントロール(C&C)サーバーとの接続にはドメイン生成アルゴリズム(DGA)を利用しています。これにより、攻撃者はより高度な悪意のある活動を行うことが可能です。
🔍 技術詳細
プロメテイのモジュールには、管理者パスワードのブルートフォース攻撃、脆弱性の悪用、横移動、データ窃取、C&C通信の確立、暗号通貨のマイニング(特にモネロ)が含まれています。最近のマルウェアサンプルの分析では、サービスとスケジュールされたcronジョブを作成することで永続性を確保し、ハードコーディングされたマイニングプールを持たないことが明らかになりました。2025年3月に観察された最新の脅威は、Ultimate Packer for eXecutables(UPX)を使用して圧縮されており、メモリ内で展開されて最終ペイロードを実行します。このマルウェアは、プロセッサやマザーボード情報、OSの詳細、システム稼働時間データ、Linuxカーネル情報など、幅広いシステム情報を収集し、HTTP GETリクエストを介してC&Cサーバーに送信します。
⚠ 影響
プロメテイボットネットの急増は、サイバーセキュリティにおいて深刻な脅威をもたらします。主に暗号通貨マイニングを目的としていますが、認証情報の窃取や追加のマルウェアペイロードの展開といったセカンダリ機能も持っています。これにより、企業や個人の機密情報が危険にさらされる可能性が高く、財務的損失や reputational damage のリスクもあります。Palo Alto Networksによると、プロメテイの活動は金融的利益が主な動機であり、国家行為者との関連は証拠がないとされています。
🛠 対策
プロメテイボットネットに対抗するためには、いくつかの対策が必要です。まず、システムのパッチを最新の状態に保つことが重要です。脆弱性を悪用されないよう、定期的なセキュリティスキャンを実施し、異常な活動を監視する必要があります。また、強力なパスワードの使用や多要素認証の導入により、ブルートフォース攻撃からの防御を強化します。さらに、信頼できるセキュリティソフトウェアを導入し、リアルタイムでの脅威検出を行うことが推奨されます。最後に、ユーザー教育を通じてフィッシング攻撃に対する意識を高めることが、マルウェア感染のリスクを低減させるために有効です。
