網絡安全研究人員發現，針對Linux服務器進行加密貨幣挖礦和憑證竊取的復雜惡意軟件Prometei僵尸網絡近期活動顯著增加。自2025年3月以來觀察到的這波最新攻擊活動，展現了加密貨幣挖礦惡意軟件的演變趨勢及其對全球企業基礎設施構成的持續威脅。

僵尸網絡雙重威脅

Prometei僵尸網絡是一個同時包含Linux和Windows變種的雙重威脅惡意軟件家族，主要目的是劫持計算資源進行門羅幣(Monero)挖礦，同時竊取被入侵系統的憑證。Palo Alto Networks分析師在2025年3月發現了這波新攻擊，指出相比之前版本，該惡意軟件在隱蔽能力和操作復雜性方面有顯著提升。

該僵尸網絡采用模塊化架構運行，使攻擊者能夠遠程控制受感染系統、部署額外有效載荷并維持對被入侵網絡的持久訪問。最初于2020年7月發現的Windows變種率先出現，Linux版本則在2020年12月出現并持續發展至今。

多向量攻擊方式

該惡意軟件采用多種攻擊向量，包括暴力破解憑證攻擊、利用與WannaCry勒索軟件相關的著名EternalBlue漏洞，以及操縱服務器消息塊(SMB)協議漏洞實現在目標網絡內的橫向移動。這種多管齊下的方式使Prometei在獲得組織系統的初始訪問權限后能夠迅速擴大其影響范圍。

研究人員發現，Prometei行動背后的經濟動機十分明顯，沒有證據表明該僵尸網絡與國家行為體有關聯。相反，這些活動表現出典型的以盈利為目的的網絡犯罪企業特征，通過加密貨幣挖礦將被入侵基礎設施變現，同時伺機收集有價值的憑證用于潛在的二次利用或在地下市場出售。

高級規避技術

當前版本采用了先進的規避技術，包括用于增強命令與控制基礎設施彈性的域名生成算法(DGA)，以及使惡意軟件能夠動態適應安全防御的自我更新能力。這些改進使傳統安全解決方案的檢測和緩解工作變得更加困難。

技術感染機制與傳播

最新Prometei變種采用復雜的傳播和解包機制，極大增加了分析難度。惡意軟件通過向特定服務器hxxp[://]103.41.204[.]104/k.php?a=x86_64發送HTTP GET請求進行傳播，并通過參數hxxp[://]103.41.204[.]104/k.php?a=x86_64,實現動態ParentID分配。

盡管文件名帶有誤導性的.php擴展名，但有效載荷實際上是專門針對Linux系統的64位ELF可執行文件，這是一種故意的混淆策略。惡意軟件使用UPX(Ultimate Packer for eXecutables)壓縮來減小文件大小并增加靜態分析難度。但該實現包含一個關鍵修改，會阻止標準UPX解壓工具正常工作。

開發者向打包的可執行文件附加了一個自定義配置JSON尾部，破壞了UPX工具定位必要元數據(包括PackHeader和overlay_offset尾部)的能力，這些元數據是成功解壓所必需的。該配置尾部包含不同惡意軟件版本間各異的必要操作參數。雖然版本二僅支持config、id和enckey等基本字段，但較新的版本三和四增加了ParentId、ParentHostname、ParentIp和ip等參數，這些增強功能實現了更復雜的命令與控制通信以及分層僵尸網絡管理能力。

成功部署后，Prometei會通過從/proc/cpuinfo收集處理器信息、通過dmidecode --type baseboard命令獲取主板詳情、從/etc/os-release或/etc/redhat-release獲取操作系統規格、系統運行時間數據以及通過uname -a命令獲取內核信息來進行全面的系統偵察。這種情報收集使惡意軟件能夠根據可用硬件資源優化其挖礦操作，同時為攻擊者提供詳細的基礎設施映射以進行潛在的橫向移動活動。