黑客组织利用NSA漏洞入侵服务器挖掘门罗币

2018-06-11    来源:

容器云强势上线!快速搭建集群,上万Linux镜像随意使用

      据外媒 12 月 16 日报道,美国网络安全公司 F5 Networks  发现了一项利用 NSA 漏洞大量入侵 Linux 和 Windows 服务器同时植入恶意软件 “ Zealot ”来挖掘 Monero 加密货币的攻击行动。

黑客组织同时利用 NSA 漏洞入侵目标服务器

      根据 F5 Networks 安全研究人员的说法,黑客组织使用两个漏洞扫描互联网上的特定服务器: 一个是用于 Apache Struts(CVE-2017-5638 — RCE 远程代码执行漏洞),另一个则是用于DotNetNuke ASP.NET CMS ( CVE-2017-9822 — DotNetNuke 任意代码执行漏洞)。

 其中 Apache Struts (CVE-2017-5638)漏洞也是今年早些时候黑客组织利用来攻击美国金融巨头 Equifax  的同一个漏洞。

此外,亦有其他犯罪集团在今年 4 月份使用同一漏洞并将勒索软件安装在了使用 Struts  2 框架的服务器上,初步统计当时他们从中获利超过 10万美元。

      在研究人员表示,若目标是 Windows 服务器,攻击者将会在服务器上部署 EternalBlue (永恒之蓝)和 EternalSynergy(永恒协作),这是今年早些时候由 Shadow Broker  “ 影子经纪人 ” 泄露的两个 NSA 漏洞,可利用于在用户本地网络中横向扩散、感染更多系统。随后,黑客组织使用 PowerShell 下载并安装最后一阶段的恶意软件,该恶意软件在攻击行动中充当 Monero 矿工的角色。而在 Linux 上,黑客组织则通过从 EmpireProject 后期开发框架中获取的 Python 脚本感染系统,并且也会安装同一个 Monero 矿工。

挖掘 Monero(门罗币)至少赚了 8500 美元

      从收集到的 Monero 地址来看,黑客组织至少从此次攻击中获得了8500 美元。考虑到黑客组织很可能还使用了其他 Monero 钱包,这意味着他们获利金额会更高。有趣的是通过对恶意代码的分析,研究员们发现该黑客组织成员似乎是 StarCraft (星际争霸)游戏的忠实粉丝,因为行动中使用的许多术语和文件名都来自游戏,比如狂热者(Zealot)、观察者(Observer)、霸王(Overlord)、乌鸦(Raven)等。

      不过 F5 专家们警告称, Zealot 的攻击活动运用了多级感染链、定制先进恶意软件 , 通过 NSA 漏洞进行横向扩散已经造成了巨大危害。而且黑客组织随时都有可能将最后阶段的 playload 更改为任何他们想要的东西,比如安装勒索软件而不是挖矿工具。

消息来源: BleepingComputer

转自 HackerNews.cc

标签: linux 安全 代码 服务器 互联网 脚本 金融 漏洞 美国 网络 网络安全 网络安全公司 用户

版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点!
本站所提供的图片等素材,版权归原作者所有,如需使用,请与原作者联系。

上一篇:GoAhead Web 服务器远程代码执行漏洞或影响数百万物联网设备

下一篇:新型恶意软件 Catelites Bot:进行“屏幕覆盖攻击”