据外媒 12 月 16 日报道，美国网络安全公司 F5 Networks  发现了一项利用 NSA 漏洞大量入侵 Linux 和 Windows 服务器同时植入恶意软件 “ Zealot ”来挖掘 Monero 加密货币的攻击行动。

黑客组织同时利用 NSA 漏洞入侵目标服务器

根据 F5 Networks 安全研究人员的说法，黑客组织使用两个漏洞扫描互联网上的特定服务器： 一个是用于 Apache Struts（CVE-2017-5638 — RCE 远程代码执行漏洞），另一个则是用于DotNetNuke ASP.NET CMS （ CVE-2017-9822 — DotNetNuke 任意代码执行漏洞）。

 其中 Apache Struts （CVE-2017-5638）漏洞也是今年早些时候黑客组织利用来攻击美国金融巨头 Equifax  的同一个漏洞。

此外，亦有其他犯罪集团在今年 4 月份使用同一漏洞并将勒索软件安装在了使用 Struts  2 框架的服务器上，初步统计当时他们从中获利超过 10万美元。

在研究人员表示，若目标是 Windows 服务器，攻击者将会在服务器上部署 EternalBlue （永恒之蓝）和 EternalSynergy（永恒协作），这是今年早些时候由 Shadow Broker  “ 影子经纪人 ” 泄露的两个 NSA 漏洞，可利用于在用户本地网络中横向扩散、感染更多系统。随后，黑客组织使用 PowerShell 下载并安装最后一阶段的恶意软件，该恶意软件在攻击行动中充当 Monero 矿工的角色。而在 Linux 上，黑客组织则通过从 EmpireProject 后期开发框架中获取的 Python 脚本感染系统，并且也会安装同一个 Monero 矿工。

挖掘 Monero（门罗币）至少赚了 8500 美元

从收集到的 Monero 地址来看，黑客组织至少从此次攻击中获得了8500 美元。考虑到黑客组织很可能还使用了其他 Monero 钱包，这意味着他们获利金额会更高。有趣的是通过对恶意代码的分析，研究员们发现该黑客组织成员似乎是 StarCraft （星际争霸）游戏的忠实粉丝，因为行动中使用的许多术语和文件名都来自游戏，比如狂热者（Zealot）、观察者（Observer）、霸王（Overlord）、乌鸦（Raven）等。

不过 F5 专家们警告称， Zealot 的攻击活动运用了多级感染链、定制先进恶意软件 , 通过 NSA 漏洞进行横向扩散已经造成了巨大危害。而且黑客组织随时都有可能将最后阶段的 playload 更改为任何他们想要的东西，比如安装勒索软件而不是挖矿工具。