近日,来自F5 Networks的研究人员Maxim Zavodchik和Liron Segal发现了一起新的恶意软件攻击活动。这起活动运用了复杂且高度混淆的多阶段攻击技术,并将攻击目标设定为易受攻击的Linux和Windows服务器。
研究人员表示,Zealot活动目前最直接目的是利用被攻陷的服务器挖掘门罗币(Monero)。但只要攻击者原意,他们可以利用这些服务器做他们想要做的任何事情。
根据在目标服务器发现的包含python脚本的压缩文件“Zealot.zip”,F5 Networks将这起攻击活动命名为“Zealot”。
攻击者正在利用与Equifax黑客相同的漏洞
根据F5 Networks的说法,攻击者正通过扫描互联网来寻找易受以下两个漏洞影响的服务器: CVE-2017-5638(RCE远程代码执行漏洞)和CVE-2017-9822(DotNetNuke任意代码执行漏洞)。
这是两个已知的安全漏洞,曾在Equifax数据泄露事件中被广泛利用。但如果某些服务器没有安装对应的安全补丁,则仍将会成为受害者。
在Zealot活动中,攻击者利用这两个漏洞开发了能够同时针对Linux和Windows服务器发起攻击的恶意软件。
如果被攻击的是Windows服务器,攻击者还将部署遭泄露的NSA黑客工具EternalBlue(永恒之蓝)和EternalSynergy(永恒协作),用以在受害者本地网络中感染更多的设备。
在之后,他们将使用PowerShell来下载并安装最后阶段的恶意软件。正如文章开头所说,在Zealot活动中,恶意软件是一个门罗币挖矿工具。
在Linux服务器上,攻击者将使用似乎从EmpireProject后期开发框架中获得的Python脚本来下载并安装门罗币挖矿工具。
黑客至少已挖到价值8500美元的门罗币
F5 Networks表示,由于门罗币的高度匿名性,门罗币已经越来越成为了更多网络犯罪分子的首选目标。
从收集到的门罗币钱包地址来看,攻击者至少从Zealot活动中获取到了价值8500美元的门罗币。由于攻击者很可能还使用了其他门罗币钱包,这意味着这个数值只可能会更高。
研究人员还指出,被攻陷的服务器被利用来挖掘门罗币只是其中一种用途,攻击者还可以利用这些服务器来干更多的事情。比如,将挖矿工具转换成勒索软件。
另外,F5 Networks还发现了一些有趣的东西,Zealot活动背后的攻击者似乎是《星际争霸(StarCraft)》的忠实粉丝。因为,活动中使用的许多术语和文件名都来自这款游戏,比如狂热者(Zealot)、观察者(Observer)、霸王(Overlord)、乌鸦(Raven)等等。