خلاصه: یک کمپین پیچیدهی بدافزاری به نام Zealot از اکسپلویتهای NSA برای هدف قرار دادن سیستمهای ویندوزی و لینوکسی برای استخراج Monero روی شبکههای داخلی استفاده میکند. این کمپین از آسیبپذیریهای وصلهنشدهی ApacheStruts و DotNetNuke استفاده میکند.
یک کمپین پیچیدهی بدافزاری به نام Zealot از اکسپلویتهای NSA برای هدف قرار دادن سیستمهای ویندوزی و لینوکسی برای استخراج Monero روی شبکههای داخلی استفاده میکند.
کمپین Zealot بسیار مبهم و پیچیده است و میتواند باعث حملات چندسکویی شود. این کمپین از آسیبپذیری وصله نشدهی Apache Struts (CVE-2017-5638) و DotNetNuke (CVE-2017-9822) استفاده میکند.
اکسپلویت لینوکس CVE-2017-5638
حمله با اسکن وب آغاز میشود، سپس درخواستهای HTTP با اکسپلویت مشهور Apache Struts ارسال میشوند، Zealot با اکسپلویتهای سازگار با هر دو پلتفرمهای ویندوز و لینوکس مجهز شده است.
اگر سرور مورد بررسی آسیبپذیر باشد، کد جاوااسکریپت برای تشخیص نوع سیستمعامل اجرا میشود. سپس در پسزمینه، دستورات shell برای دانلود bash scriptها اجرا میگردند.
این دستورات shell بشاسکریپتهای «larva» را دریافت کرده و بررسی میکند که آیا ماشین آلوده شده است یا نه سپس ماینر «mule» را دانلود میکند.
اکسپلویت ویندوزی CVE-2017-5638
برای ویندوز، این کمپین، یک مترجم PowerShell را اجرا میکند و یک کد رمزگذاری شده با base64 را اجرا خواهد کرد. کد دیکد شده به یک فایل دیگر لینک خواهد داد و اسکریپت پاورشل svc.ps1 مبهم شده را ارائه خواهد کرد سپس مستقرکننده، یک بدافزار استخراج کننده رمز ارز را دانلود و اجرا میکند.
اگر پایتون ۲.۷ بر روی سیستم نصب نباشد، ابتدا آن را نصب کرده و سپس ماژول probe.py را اجرا میکند.
Zealot.py: اسکریپت اصلی که اکسپلویتهای EternalBlue و EternalSynergy را اجرا میکند.
A0.py: اکسپلویت EternalSynergy با شلکد داخلی برای ویندوز ۷
a1.py: اکسپلویت EternalBlue برای ویندوز ۷. یک شلکد را بهعنوان یک آرگومان دریافت میکند.
A2.py: اکسپلویتهای EternalBlue برای ویندوز ۸. یک شلکد را بهعنوان یک آرگومان دریافت میکند.
data: فولدری شامل دو فایل شلکد:
- shellcode_win7: استفاده شده برای a1.py
- shellcoce_win8: استفاده شده برای a2.py
CVE-2017-9822
یک درخواست دیگر فرستاده شده توسط مهاجم مربوط به Zealot نشان میدهد ه از DotNetNuke بهرهبرداری میکند (یک سیستم مدیریت محتوا مبتنی بر ASP..NET).
