استفاده‌ی “Zealot” از سوءاستفاده‌های NSA به منظور کاویدن ارز دیجیتال Monero در کارگزارهای ویندوز و لینوکس

کمپین بدافزاری پیچیده‌ای به نام Zealot از سوءاستفاده‌های NSA برای هدف قرار دادن کارگزارهای ویندوزی و لینوکسی برای استخراج Monero استفاده کرده‌اند.
این کمپین توسط محققان امنیتی F5 Networks شناسایی و نام‌گذاری شده است. دلیل این نام‌گذاری مشاهده و حذف فایلی به نام zealot.zip در کارگزارهای هدف بود.
به گفته‌ی دو تن از محققان امنیتی F5 Networks، مهاجمان سامانه‌های موجود در اینترنت را برای کارگزار خاصی جستجو می‌کنند و از دو آسیب¬پذیری که یکی Apache Struts (CVE-2017-5638) و دیگری DotNetNuke ASP.NET CMS (CVE-2017-9822) است، استفاده می‌کنند تا در دستگاه‌های وصله‌نشده جایی برای خود باز کنند.
آسیب‌پذیری Apache Struts همان نقصی است که هکرها در اوایل سال جاری برای تخریب Equifax (غول مالی ایالات‌متحده) استفاده می‌کردند. گروه دیگری در ماه آوریل با سوءاستفاده از همین نقص، کارگزارهای Struts را هدف قرار دادند و در آن‌ها باج‌افزار نصب کردند و از این طریق 100000 دلار به‌دست آوردند.
کمپین Zealot از نقص Struts در هر دو سیستم عامل لینوکس و ویندوز به‌طور همزمان سوءاستفاده می‌کند. هنگامی‌که مهاجمان یک ماشین ویندوزی را آلوده می‌کنند، دو اکسپلویت EternalBlue و EternalSynergy را نیز به کار می‌گیرند. این دو اکسپلویت NSA در اوایل سال جاری توسط Shadow Brokers فاش شد. مهاجمان از این اکسپلویت‌ها برای حرکت در شبکه و آلوده کردن سامانه‌های بیش‌تر استفاده می‌کنند و در نهایت Powershell را برای بارگیری و نصب بدافزار نهایی به‌کار می‌گیرند. در این گروه، بدافزار نهایی کاونده‌ی Monero است.
در لینوکس مهاجمان از اسکریپت‌های Python استفاده و همان کاونده‌ی Monero را نصب می‌کنند.
بنا به اطلاعات جمع‌آوری‌شده توسط محققان F5 Networks، مهاجمان حداقل 8500 دلار از حملات خود به‌دست آورده‌اند؛ اما آن‌چه مشخص است این است که این کمپین از Monero استفاده‌ی بیشتری خواهد کرد و در نهایت مبلغ به‌دست‌آمده بسیار بیش‌تر خواهد بود.
کارشناسان F5 همچنان خاطرنشان کردند که مهاجمان می‌توانند مرحله‌ی پایانی خرابکاری را به هر چیزی که می‌خواهند، تغییر دهند.
به نظر می‌رسد مهاجمان از طرفداران بازی StarCraft هستند، زیرا بسیاری از اصطلاحات و نام فایل‌های استفاده‌شده در این کمپین، از این بازی گرفته شده‌اند مانند: Zeolat، Observer، Overlord و Raven.
استفاده از زنجیره‌ای از آسیبپذیری‌های چندمرحله‌ای، بدافزار پیشرفته و حرکت در شبکه‌ها به‌منظور ایجاد حداکثر آسیب، بیان‌گر توسعه‌یافته بودن کمپین Zeolat است.