Эксперты компании F5 Networks зафиксировали агрессивную сложную кампанию, получившую название Zealot, в рамках которой злоумышленники используют различные эксплоиты для установки майнеров криповалюты Monero на серверы под управлением Linux и Windows.
По данным специалистов, атакующие сканируют интернет на предмет определенных уязвимых серверов и при нахождении таковых используют два эксплоита (для уязвимостей CVE-2017-5638 в Apache Struts и CVE-2017-9822 в DotNetNuke ASP.NET CMS) для компрометации компьютеров. Ранее уязвимость CVE-2017-5638 проэксплуатировала другая хакерская группировка в целях взлома компьютерной системы одного из крупнейших кредитных бюро Equifax в мае нынешнего года. Месяцем ранее злоумышленники воспользовались той же уязвимостью для компрометации серверов Apache Struts и установки вымогательского ПО. На вымогательской кампании преступники заработали свыше $100 тыс.
В случае Zealot эксплоит для уязвимости в Apache Struts включал дополнительную полезную нагрузку для атак на системы под управлением Linux и Windows. При инфицировании системы на базе Windows злоумышленники использовали EternalBlue и EternalSynergy — эксплоиты из арсенала Агентства национальной безопасности (АНБ) США, опубликованные хакерской группировкой The Shadow Brokers в числе других инструментов спецслужбы. После компрометации систем преступники устанавливали программу для добычи криптовалюты Monero. На системах под управлением Linux атакующие применяли написанные на Python скрипты, судя по всему позаимствованные из фреймворка EmpireProject.
Согласно данным исследователей, злоумышленникам уже удалось заработать на атаках по меньшей мере $8,5 тыс. Также они отметили, что группировка в любой момент может изменить финальную полезную нагрузку и заражать компьютеры жертв другим вредоносным ПО, например, шифровальщиками. Как полагают эксперты, за кампанией Zealot стоит группировка, уровень профессионализма которой значительно превышает подготовку обычных майнеров криптовалюты.

Источник: securitylab.ru