思科系统（Cisco Systems）公司的威胁情报智能团队思科Talos发现了一种名为“Prometei”的新型数字货币挖矿僵尸网络攻击，其目的是挖掘门罗币（XMR）和窃取目标系统的数据。

据其报告指出，该僵尸网络自三月份以来一直处于活跃状态。Talos通过检查遥测信息发现了这一攻击，这些遥测信息来自面向终端的思科高级恶意软件防护（AMP）的安装数据库。

值得注意到是，该新型僵尸网络通过使用一个复杂、庞大的模块化系统，再结合多种技术来入侵系统，并对终端用户隐藏其存在，进而挖掘门罗币（XMR）。此外，它还使用多个精心打造的工具来帮助僵尸网络增加其加入门罗币矿池的系统数量。

Prometei的攻击始于通过Eternal Blue在内的服务器信息块（SMB）漏洞，试图控制计算机的Windows操作系统的SMB协议。

该僵尸网络拥有超过15个可执行模块，这些模块由中央模块下载并控制。中央模块使用HTTP请求与“命令与控制（C2）服务器”通信。它使用RC4加密传输加密好的数据，而该模块则使用非对称加密与C2共享密钥。

除了把重点放在扩展到整个环境，Prometei还会尝试找回管理员密码。找回的密码将发送到C2，然后其他模块会重用该密码，尝试使用SMB协议和远程桌面协议（RDP）确认密码在不同系统上的有效性。

Prometei僵尸网络分为两个主要分支：一个C++分支专门用于区块奖励挖矿操作，另一个基于.NET的分支则专注于密码盗窃、滥用SMB和进行混淆处理。

主分支可以独立于第二分支运行，它具有与C2通信、窃取凭据和挖掘门罗币的功能。该恶意软件还附加了辅助模块，使得该恶意软件可在TOR浏览器或I2P网络进行通信。

辅助模块还可以收集系统信息、查找开放的端口、在SMB上传播，以及扫描是否存在任何数字货币钱包。一旦系统被入侵并添加到僵尸网络中，攻击者就可以执行各种操作或工作。

据Talos对挖矿模块的分析，目前受Prometei感染的系统数量“低于数千”。Talos已侦测到Prometei请求来自美国、巴西、土耳其、中国和墨西哥等国家。

组织有必要时刻保持警惕，监视其网络中的系统行为。虽然他们需要集中精力保护自己最宝贵的资产，但也不应忽略非针对其基础架构的威胁。