NSA外流攻击工具遭滥用，企业服务器沦为骇客Monero币挖矿工具

F5 Networks安全研究人员发现一项攻击行动，利用 NSA之前被影子掮客（ShadowBroker） 外泄的攻击工具入侵Apache Struts等漏洞入侵Windows及Linux服务器， 以便利用受害者来挖Monero币。

这项攻击行动会在入侵的服务器中种入带有python scripts的zip档，因而被F5研究人员称为Zealot 。研究人员发现，Zealot行动中， 攻击者先扫描连网服务器上两项漏洞，一是Apache Struts上的CVE-2017-5638及DotNetNuke (DNN) ASP.NET 内容管理系统的漏洞CVE-2017-9822。其中前者即为9 月间美国第三大信用卡Equifax遭入侵的同一漏洞，今年3月即已揭露及修补。后者则是今年7月被揭露。

细部分析之下，Zealot为一多阶段攻击。首先，针对Apahce Struts漏洞的攻击行动对象同时涵括Windows及Linux服务器。在Windows服务器上，攻击者利用NSA今年遭影子掮客团体外流的EnternalBlue和EternalSynergy攻击工具在受害者本地网络上横向移动，感染其他机器。接着使用PowerShell下载并安装第二阶段的恶意程式，即Monero采矿 程式。

而在Linux机器上则采用EmpireProject后攻击（post-exploitation）框架的Python script，之后下载相同的Monero采矿程式。 研究人员Maxim Zavodchik及Liron Segal 指出，同时攻击Windows和Linux系统也是Zealot和过去Apache Struts攻击很不同的地方。

Monero近年成为愈来愈多网络犯罪者爱用的加密货币。 研究人员相信在这波行动中，骇客已经采到的Monero将近8, 500美元。

至于Zealot攻击者对DNN的攻击，则是透过在DNNPer sonalization cookie中传送序列化物件，嵌入物件并呼叫shell指令，后者会执行PowerShell script，进而载入与Apache Struts漏洞攻击相同的采矿程式。

F5研究人员指出，针对Apache Struts漏洞的Zealot行动是第一个利用NSA攻击工具 ，在内部网络蔓延的Struts攻击。过去使用NSA攻击工具的行动，如NotPetya、WannaCry勒赎软件和Adylkuzz采矿程式都是直接扫描SMB协定漏洞，然而Zealot 则是开启新攻击面向，是利用web应用漏洞将恶意程式送入内部网络。同时Zealot使用的手法，又比一般僵尸程式作者更为高明。

研究人员建议企业应尽速修补已经公布的漏洞，同时使用Web应用防火墙多加一层防护。