Manuel Statik Analiz — Prometei Botnet | Tehdit: KRITIK

Dosya Kimliği

SHA2560edf9db459375914d3708dd1b17d502c805dde90213f86b3c5a4f7d0e2b6c9f1
Boyut449.081 byte (UPX packed)
String Sayisi3.033

JSON Cleartext Konfigürasyonu

Kritik IOC: Botnet konfigürasyonu string olarak açıkça görülüyor!
{"config":1,"id":"p463k2B8F51lz1Eb","enckey":"OjBvPJkR52j4E0ljPfblHiGN1HzahRX..."}
-- config: 1 = aktif botnet config versiyonu
-- id: "p463k2B8F51lz1Eb" = BOT ID / kampanya kimliği
-- enckey: "OjBvPJkR52j4E0ljPfblHiGN1HzahRX" = şifreleme anahtarı!

Bitcoin Cüzdanları

1HzahRXBp1y7tVyoSO6NWa2EihdzPprjgXV  -- Prometei Monero madencilik BTC adresi #1
1JK9A8WKd4y3NXeVAWmzp9X75LCpeCJk     -- Prometei BTC adresi #2

Prometei Hakkında

Prometei (Prometheus + botnet), 2016'dan beri aktif çok modüllü botnet ailesidir. EternalBlue (MS17-010) ve BlueKeep (CVE-2019-0708) açıklarıyla ağa yayılır. Monero kripto para madenciliği yapar. Gizli ağ altyapısı için Tor kullanır. Backdoor, keylogger ve ransomware yükleme kapasitesine sahiptir. İran kaynaklı olduğu değerlendirilmektedir.

IOC

SHA2560edf9db459375914d3708dd1b17d502c805dde90213f86b3c5a4f7d0e2b6c9f1
Bot IDp463k2B8F51lz1Eb
BTC1HzahRXBp1y7tVyoSO6NWa2EihdzPprjgXV
ExploitEternalBlue (MS17-010)

Prometei — Malware Profile

Prometei cross-platform botnet 2020. Linux+Windows ELF/EXE. Exchange vuln(ProxyLogon+EternalBlue). XMRig miner.

Malware Type
Botnet
Programming Language
C
C2 Protocol
TCP/Tor
Target Systems
Kuresel

Capabilities & Behavior

DDoS Saldırısı
Botnet Genişletme
Brute Force Taran
Payload Dağıtımı
Uzaktan Komut
Ağ Tarama
Kimlik Bilgisi Çalma
IoT Cihaz Kontrolü

IOC List (1 indicators)

IOC — Prometei
# SHA256 0edf9db459375914d3708dd1b17d502c805dde90213f86b3c5a4f7d0e2b6c9f1
TypeValueNote
sha256 0edf9db459375914d3708dd1b17d502c805dde90213f86b3c5a4f7d0e2b6c9f1
Tags
prometeibotnetjson-configcleartexteternalbluemonero-minerbtc