近日，來自F5 Networks的研究人員Maxim Zavodchik和Liron Segal發(fā)現(xiàn)了一起新的惡意軟件攻擊活動。這起活動運用了復(fù)雜且高度混淆的多階段攻擊技術(shù)，并將攻擊目標(biāo)設(shè)定為易受攻擊的Linux和Windows服務(wù)器。

研究人員表示，Zealot活動目前最直接目的是利用被攻陷的服務(wù)器挖掘門羅幣(Monero)。但只要攻擊者原意，他們可以利用這些服務(wù)器做他們想要做的任何事情。

根據(jù)在目標(biāo)服務(wù)器發(fā)現(xiàn)的包含python腳本的壓縮文件“Zealot.zip”，F(xiàn)5 Networks將這起攻擊活動命名為“Zealot”。

攻擊者正在利用與Equifax黑客相同的漏洞

根據(jù)F5 Networks的說法，攻擊者正通過掃描互聯(lián)網(wǎng)來尋找易受以下兩個漏洞影響的服務(wù)器： CVE-2017-5638(RCE遠(yuǎn)程代碼執(zhí)行漏洞)和CVE-2017-9822(DotNetNuke任意代碼執(zhí)行漏洞)。

這是兩個已知的安全漏洞，曾在Equifax數(shù)據(jù)泄露事件中被廣泛利用。但如果某些服務(wù)器沒有安裝對應(yīng)的安全補丁，則仍將會成為受害者。

在Zealot活動中，攻擊者利用這兩個漏洞開發(fā)了能夠同時針對Linux和Windows服務(wù)器發(fā)起攻擊的惡意軟件。

如果被攻擊的是Windows服務(wù)器，攻擊者還將部署遭泄露的NSA黑客工具EternalBlue(永恒之藍(lán))和EternalSynergy(永恒協(xié)作)，用以在受害者本地網(wǎng)絡(luò)中感染更多的設(shè)備。

在之后，他們將使用PowerShell來下載并安裝最后階段的惡意軟件。正如文章開頭所說，在Zealot活動中，惡意軟件是一個門羅幣挖礦工具。

在Linux服務(wù)器上，攻擊者將使用似乎從EmpireProject后期開發(fā)框架中獲得的Python腳本來下載并安裝門羅幣挖礦工具。

黑客至少已挖到價值8500美元的門羅幣

F5 Networks表示，由于門羅幣的高度匿名性，門羅幣已經(jīng)越來越成為了更多網(wǎng)絡(luò)犯罪分子的首選目標(biāo)。

從收集到的門羅幣錢包地址來看，攻擊者至少從Zealot活動中獲取到了價值8500美元的門羅幣。由于攻擊者很可能還使用了其他門羅幣錢包，這意味著這個數(shù)值只可能會更高。

研究人員還指出，被攻陷的服務(wù)器被利用來挖掘門羅幣只是其中一種用途，攻擊者還可以利用這些服務(wù)器來干更多的事情。比如，將挖礦工具轉(zhuǎn)換成勒索軟件。

另外，F(xiàn)5 Networks還發(fā)現(xiàn)了一些有趣的東西，Zealot活動背后的攻擊者似乎是《星際爭霸(StarCraft)》的忠實粉絲。因為，活動中使用的許多術(shù)語和文件名都來自這款游戲，比如狂熱者(Zealot)、觀察者(Observer)、霸王(Overlord)、烏鴉(Raven)等等。

cc

收藏 海報分享