BuleHero Botnet

BuleHero Botnet Popis

BuleHero je botnet, který používá mnoho postranních pohybových modulů k instalaci XMRig Miner a Gh0st RAT. Při hloubkovém výzkumu malwaru bylo zjištěno, že BuleHero použilo ke stažení nástroje pro skenování portů nástroj Swpuhostd.exe, aby botnet mohl provádět skenování a hledat exponované a zranitelné počítače připojené k síti. Vědci zjistili, že hrozba postupně prohledávala IP adresy s otevřenými porty 80 a 3389. Poté tyto výsledky uložil do souboru Results.txt.

V důsledku toho udělila tato hesla společnosti PsExec a WMIC, nástrojům, které napomáhaly šíření malwaru do dalších počítačů ve stejné síti. Botle BuleHero není jedinou nedávno nalezenou hrozbou známou pro použití bočního pohybu k šíření po síti a infikování dalších počítačů. Analytici zabezpečení mohou pomoci jejich organizacím bránit se proti botnetu BuleHero využitím analýzy chování uživatelů (UBA) k identifikaci chování, které by mohly ukazovat na potenciálně škodlivou aktivitu v síti.