导语:近日,据外媒报道称,研究人员发现了一项新的恶意软件攻击活动,该恶意活动正在利用一系列复杂的NSA漏洞和攻击技术针对Windows和Linux服务器实施攻击,目的是在这些服务器上安装恶意软件来挖掘门罗币(Monero)这种加密货币。

1513753043360034.png

近日,据外媒报道称,研究人员发现了一项新的恶意软件攻击活动,该恶意活动正在利用一系列复杂的NSA漏洞和攻击技术针对Windows和Linux服务器实施攻击,目的是在这些服务器上安装恶意软件来挖掘门罗币(Monero)这种加密货币。

据悉,该恶意活动最初是由来自F5 Networks公司的研究人员所发现,由于研究人员在目标服务器上发现了一个包含python脚本的压缩文件“Zealot.zip”,所以便将该恶意活动命名为“Zealot”,

攻击者正在利用与Equifax黑客相同的漏洞

根据F5 Networks公司的两名安全研究人员Maxim Zavodchik和Liron Segal的说法,攻击者正在扫描互联网上的特定服务器,并使用以下两个漏洞来寻找未打补丁的脆弱服务器设备。这两个漏洞分别为:

用于Apache Struts的远程执行代码漏洞(CVE-2017-5638);
用于DotNetNuke ASP.NET CMS的任意代码执行漏洞(CVE-2017-9822);

Apache Struts漏洞曾在今年早些时候被其他的黑客用于攻击美国金融巨头Equifax,并造成了大规模的数据泄露事件。此外,早在今年4月份,一个犯罪团体也曾使用相同的漏洞,在易受攻击的Struts服务器中安装勒索软件,并获得了超过10万美元的赎金收益。

对于此次活动而言,Struts漏洞包含了能够同时针对Linux和Windows服务器发起攻击的有效载荷。在成功感染Windows服务器的情况下,攻击者还将部署EternalBlue(永恒之蓝)和EternalSynergy(永恒协作)——这是今年早些时候由Shadow Broker泄露的两个NSA漏洞。攻击者主要用它们在受害者的本地网络中横向移动,以感染更多的系统。

随后,他们还将使用PowerShell来下载并安装最后阶段的恶意软件,对于Zealot恶意活动而言,恶意软件就是一个门罗币挖矿“矿工”。

在Linux服务器上,攻击者将使用似乎是从EmpireProject后期开发框架中获取的Python脚本,来下载并安装一个门罗币挖矿工具。

黑客至少挖掘了价值8500美元的门罗币

F5 Networks的研究人员表示,根据从门罗币钱包地址中收集到的信息来看,攻击者至少已经从“Zealot”恶意活动中获得了价值8500美元的门罗币。但是,由于攻击者很可能还使用了其他更多的门罗币钱包,这意味着这个总数可能还会更高。

F5的研究人员还指出,事实上,攻击者可以将最后阶段的有效载荷更改成任何他们想要的东西,例如,把下载安装挖矿工具换成下载安装勒索软件。

此外,研究人员还发现,此次恶意活动背后的攻击者可能是《星际争霸(StarCraft)》的头号粉丝,因为此次活动中运用的许多术语和文件名都是来自于这款游戏,比如狂热者(Zealot)、观察者(Observer)、霸王(Overlord)以及乌鸦(Raven)等等。

最后,Zavodchik和Segal指出,

我们目前在Zealot恶意活动中观察到的复杂程度正在让我们相信,这场活动是由比普通‘僵尸牧人’(bot herders)高出几个级别的威胁行为者所开发和运行的。

研究人员指出,该恶意活动背后的攻击者使用了多阶段感染链、先进的和定制的恶意软件,并通过网络横向移动来造成伤害最大化,这一切都是不容忽视的。

源链接

Hacking more

...