Аналитики компании F5 Networks предупредили об обнаружении сложной вредоносной кампании по взлому серверов, работающих под управлением Windows и Linux. Угроза получила название Zealot, так как злоумышленники определенно большие фанаты StarCraft: среди имен файлов и в коде малвари можно найти упоминания Zealot, Observer, Overlord, Raven и так далее. Для атак неизвестные преступники используют эксплоиты АНБ и заражают пострадавшие системы майнером криптовалюты Monero.
По данным исследователей, злоумышленники сканируют интернет в поисках машин, уязвимых перед двумя эксплоитами: для бага в Apache Struts (CVE-2017-5638), а также для проблемы DotNetNuke ASP.NET CMS (CVE-2017-9822).
Данный баг в Apache Struts получил широкую известность осенью текущего года, когда выяснилось, что с его помощью взломали бюро кредитных историй Equifax. При этом уязвимость CVE-2017-5638 была устранена еще в начале марта 2017 года. Более того, в силу доступности эксплоитов ее почти сразу стали активно использовать злоумышленники. Так, еще весной о необходимости срочной установки обновлений предупреждали не только сами разработчики Apache Struts, но и специалисты по безопасности.
В случае Zealot на вооружении злоумышленников находятся пейлоуды, предназначенные как для Windows, так и для Linux. Кроме того, если атакующие имеют дело с машиной, работающей под управлением Windows, они применяют инструменты EternalBlue и EternalSynergy, которые хакерская группа The Shadow Brokers в прошлом году похитила у АНБ и опубликовала в открытом доступе. Это позволяет преступникам проникнуть глубже в локальную сеть пострадавшей компании, заразив как можно больше систем. На финальном этапе заражения используется PowerShell, при помощи которого на скомпрометированное устройство устанавливается майнер криптовалюты Monero.
Для Linux-систем атакующие используют Python-скрипты, которые, по мнению исследователей, позаимствованы из EmpireProject. Финальным этапом заражения также является установка майнера.
Аналитики F5 Networks отмечают, что неизвестная группировка в любой момент может заменить майнер Monero любой другой малварью, и в очередной раз призывают администраторов не забывать об установке патчей.
Исследователям удалось отследить сразу несколько криптовалютных кошельков группы, которые используются для вывода «накопанного» Monero. В настоящее время в них содержится около 8500 долларов. При этом доходы группировки могут быть существенно выше, так как злоумышленники используют множество кошельков, и специалисты признают, что наверняка сумели обнаружить далеко не все.