BuleHero Botnet

BuleHero Botnet Beschrijving

BuleHero is een Botnet dat veel zijwaartse bewegingsmodules gebruikt om XMRig Miner en Gh0st RAT te installeren. Uit diepgaand onderzoek van de malware bleek dat BuleHero Swpuhostd.exe gebruikte om een poortscanprogramma te downloaden, zodat het botnet een scan kon uitvoeren, op zoek naar kwetsbare en op het netwerk aangesloten computers. Onderzoekers ontdekten dat de bedreiging sequentieel werd gescand op IP-adressen met poorten 80 en 3389 open. Vervolgens werden deze resultaten opgeslagen in een bestand Results.txt.

Bijgevolg gaf het die wachtwoorden aan PsExec en WMIC, hulpmiddelen die de verspreiding van malware naar andere computers op hetzelfde netwerk hielpen. Het BuleHero-botnet is niet de enige recent gevonden bedreiging die bekend staat om het gebruik van zijwaartse beweging om zich over een netwerk te verspreiden en andere computers te infecteren. Beveiligingsanalisten kunnen hun organisaties helpen om zich te verdedigen tegen het BuleHero-botnet door gebruik te maken van gebruikersgedragsanalyses (UBA) om gedragingen te identificeren die kunnen wijzen op mogelijk schadelijke activiteiten op het netwerk.