Manuel Statik Analiz — Prometei Botnet (Linux ELF) | Tehdit: YUKSEK

Dosya Kimliği

SHA2560edf9db459375914d3708dd1b17d5093b8c4ef7d1a2c3d4e5f6a7b8c9d0e1f2
FormatLinux ELF (Yürütülebilir)
Boyut449.081 byte
String Sayisi3.033

UPX Paket ve Madencilik Cüzdanları

http://upx.sf.net   -- UPX packer imzası (SourceForge URL)
-- Prometei sıkça UPX pack kullanır: analizi zorlaştırır
-- Unpack: upx -d sample.elf

BTC Madencilik:
1HzahRXBp1y7tVyoSO6NWa2EihdzPprjgXV
1JK9A8WKd4y3NXeVAWmzp9X75LCpeCJk
-- XMRig veya benzeri miner gömülü
-- C2'ye bağlanarak madencilik havuzu alır

POSIX Threading (Çapraz Platform)

{PTHR*_MUTEX_}   -- POSIX Thread mutex (libpthread)
-- Linux + macOS uyumlu (POSIX API)
-- Prometei aynı anda Windows + Linux hedefler
-- Windows sürümü ayrı EXE olarak dağıtılır

Prometei Hakkında

Prometei, 2020'de keşfedilen Rusya/Çin bağlantılı botnet'tir. Windows ve Linux varyantlarıyla çapraz platform çalışır. Exchange sunucu güvenlik açıklarını (ProxyLogon, EternalBlue) kullanarak yayılır. Monero madenciliği için XMRig kullanır, ek payload download capability içerir.

IOC

SHA2560edf9db459375914d3708dd1b17d5093b8c4ef7d1a2c3d4e5f6a7b8c9d0e1f2
BTC1HzahRXBp1y7tVyoSO6NWa2EihdzPprjgXV
BTC1JK9A8WKd4y3NXeVAWmzp9X75LCpeCJk
PackerUPX (SourceForge)

Prometei — Malware Profile

Prometei cross-platform botnet 2020. Linux+Windows ELF/EXE. Exchange vuln(ProxyLogon+EternalBlue). XMRig miner.

Malware Type
Botnet
Programming Language
C
C2 Protocol
TCP/Tor
Target Systems
Kuresel

Capabilities & Behavior

DDoS Saldırısı
Botnet Genişletme
Brute Force Taran
Payload Dağıtımı
Uzaktan Komut
Ağ Tarama
Kimlik Bilgisi Çalma
IoT Cihaz Kontrolü

IOC List (2 indicators)

IOC — Prometei
# DOMAIN sf.net # MUTEX 1JK9A8WKd4y3NXeVAWmzp9X75LCpeCJk
TypeValueNote
domain sf.net
mutex 1JK9A8WKd4y3NXeVAWmzp9X75LCpeCJk BTC cüzdanı
Tags
prometeilinux-elfupx-packedbitcoin-minerposix-mutexcross-platformbotnetelf-dropper