BuleHero Botnet

BuleHero es una Botnet que utiliza muchos módulos de movimiento lateral para instalar XMRig Miner y Gh0st RAT. La investigación en profundidad del malware reveló que BuleHero utilizó Swpuhostd.exe para descargar una herramienta de escaneo de puertos para que la red de bots pudiera realizar un escaneo, buscando computadoras expuestas y vulnerables conectadas a la red. Los investigadores descubrieron que la amenaza escaneaba secuencialmente las direcciones IP con los puertos 80 y 3389 abiertos. Luego guardó estos resultados en un archivo Results.txt.

En consecuencia, le dio esas contraseñas a PsExec y WMIC, herramientas que ayudaron a que el malware se propagara a otras computadoras en la misma red. Los analistas de seguridad pueden ayudar a sus organizaciones a defenderse contra la botnet BuleHero aprovechando el análisis de comportamiento del usuario (UBA) para identificar comportamientos que podrían apuntar a actividades potencialmente maliciosas en la red.