文章总结： 2026年1月英国建筑公司遭Prometei僵尸网络攻击，该恶意软件自2016年活跃，通过RDP弱密码入侵Windows服务器，主要功能为门罗币挖矿、密码窃取和远程控制。其使用UPlugPlay服务持久化，通过sqhost.exe和zsvc.exe执行恶意操作，利用Mimikatz窃取凭证并经由TOR网络通信。该恶意软件采用沙箱绕过技术，通过检查mshlpda32.dll文件存在性及执行诱饵任务规避检测，还会部署netdefender.exe阻止其他攻击者入侵以独占资源。建议企业使用强密码、多因素认证并及时更新软件。 综合评分： 82 文章分类： 恶意软件,威胁情报,漏洞分析,安全运营,终端安全

英国建筑公司遭隐藏在 Windows 服务器中的 Prometei 僵尸网络攻击

原创

网络安全9527 网络安全9527

安全圈的那点事儿

2026年2月9日 12:48 辽宁

2026年1月，一家英国建筑公司在其Windows服务器上发现了一个隐藏的“数字地狱租户”。来自eSentire威胁响应部门（TRU）的安全专家确认入侵者为Prometei，这是一个与俄罗斯有关联的僵尸网络，自2016年以来一直活跃。虽然它的主要任务是挖掘门罗币（Monero ）加密货币，但TRU的研究表明，它也擅长窃取密码和远程控制系统。

这项已分享给 Hackread.com 的研究表明，攻击者无需高深的技巧就能入侵系统。他们很可能只是猜测了一些简单的密码或默认密码，就通过远程桌面协议 (RDP) 获得了访问权限。众所周知，使用弱密码就好比敞开家门一样危险。

工具包

需要说明的是，Prometei 并非单个文件，而是一个完整的工具包。安装完成后，它会运行一个名为 UPlugPlay 的服务，并创建一个名为 sqhost.exe 的文件，以确保该服务在每次计算机启动时都能正常运行。

研究人员指出，该恶意软件的第一步是从与 Primesoftex Ltd. 有关联的服务器下载其主要有效载荷 zsvc.exe。该文件经过高度加密和伪装。

为了保持运营人员的监控，Prometei 会利用 Windows 内置工具收集您计算机的名称和技术细节。进一步调查显示，它还使用名为Mimikatz（标记为 miWalk）的工具窃取网络上的所有密码，同时通过匿名的TOR网络路由流量以躲避追踪。

巧妙的伪装和策略

Prometei 的狡猾之处在于它如何规避检测。它会寻找一个特定的文件mshlpda32.dll来解包其代码。如果恶意软件找不到这个文件，它不会直接崩溃；而是会执行一些诱饵操作，例如运行虚假的系统任务，以伪装成无害的行为。研究人员称，这是一种“沙箱绕过”技巧，旨在欺骗那些试图在安全环境下对其进行研究的安全专家。

Prometei 还扮演着一个贪婪的“房客”的角色，研究人员用这个词来形容它，是因为这种恶意软件实际上霸占了服务器，并“更换了锁”以阻止其他人访问。它会下载一个名为 netdefender.exe 的工具，该工具实际上会阻止其他黑客入侵。然后，它会监控失败的登录尝试，并阻止这些尝试。这真是莫大的讽刺：这种恶意软件加固你的系统，仅仅是为了确保它出于自身自私的目的而独占访问权限。

保持防护

确保安全的最佳方法是弃用默认密码，改用复杂密码。为了帮助科技界对抗恶意软件，eSentire 发布了两款专用工具，使研究人员能够解析恶意软件并研究其活动轨迹。专家还建议使用多因素身份验证 ( MFA ) 并保持软件更新，以便在恶意“入侵者”入侵之前堵住任何安全漏洞。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈的那点事儿 网络安全9527 网络安全9527《英国建筑公司遭隐藏在 Windows 服务器中的 Prometei 僵尸网络攻击》