ماینر ارزهای دیجیتال به نام Adylkuzz از طریق بدافزار EternalBlue و DoublePulsar به شبکه ها حمله می کند

در حالی که باج‌افزار بدنام WannaCry در سال 2017 به تیتر اخبار امنیت سایبری تبدیل شد، بازیگران مخرب به طور همزمان از همان سوء استفاده‌ها برای انتشار یک ماینر ارز دیجیتال به نام Adylkuzz استفاده می‌کردند. مانند WannaCry، Adylkuzz از ابزارهای هک NSA درز کرده برای استفاده از آسیب‌پذیری شبکه مایکروسافت ویندوز و غیرفعال کردن شبکه در دستگاه‌های آلوده استفاده کرد، که باعث می‌شود محققان بر این باورند که Adylkuzz از بسیاری جهات قبل از حملات WannaCry بوده است.

در سال 2017، یک حمله باج‌افزار عظیم از EternalBlue برای آلوده کردن شبکه‌های محلی و شبکه‌های بی‌سیم در سراسر جهان سوء استفاده کرد. EternalBlue به عنوان بخشی از ابزارهای هک NSA توسط Shadow Brokers شناسایی شده است. این رایانه‌های آسیب‌پذیر را کشف می‌کند و با استفاده از آسیب‌پذیری Microsoft Server Message Block MS17-010 در پورت TCP 445، محموله‌های مخرب را منتشر می‌کند. مهاجمان با ترکیب EternalBlue با ابزار درپشتی دیگر NSA به نام DoublePulsar ، تهدید بدنام باج‌افزار WannaCry را نصب کردند.

با این حال، محققان یک حمله در مقیاس بزرگ دیگر را شناسایی کردند که از EternalBlue و DoublePulsar نیز برای آلوده کردن رایانه‌ها استفاده می‌کرد، اما این بار با یک ماینر ارز دیجیتال به نام Adylkuzz.

این کشف پس از افشای عمدی یک ماشین آزمایشگاهی آسیب پذیر در برابر EternalBlue انجام شد. محققان امنیت سایبری دریافتند که دستگاه پس از بهره برداری موفقیت آمیز از طریق EternalBlue به DoublePulsar آلوده شده است. سپس DoublePulsar راه را برای اجرای Adylkuzz از میزبان دیگری باز کرد. پس از مسدود کردن ارتباطات SMB، ماینر آدرس IP عمومی قربانی را تعیین کرد و دستورالعمل‌های استخراج را همراه با ابزارهای پاکسازی خاص دانلود کرد. Adylkuzz برای استخراج ارز دیجیتال Monero در این نمونه خاص استفاده شده است. مشاهده یکی از چندین آدرس Monero مرتبط با این حمله نشان می دهد که استخراج پس از پرداخت 22000 دلار به آن آدرس متوقف شده است. پرداخت‌های ماینینگ در روز مرتبط با یک آدرس خاص نیز نشان می‌دهد که مهاجمان به طور منظم بین چندین آدرس جابجا می‌شوند تا از انتقال بیش از حد سکه‌های Monero به یک آدرس جلوگیری کنند.

علائم رایج Adylkuzz شامل از دست دادن دسترسی به منابع مشترک ویندوز و بدتر شدن عملکرد رایانه شخصی است. در چندین مورد از حملات مشکوک WannaCry به شبکه های شرکتی در مقیاس بزرگ، فقدان یادداشت باج به این معنی است که مشکلات شبکه گزارش شده در واقع با فعالیت Adylkuzz مرتبط بوده است. محققان حتی ادعا می‌کنند که آمار نصب Adylkuzz تأثیر بسیار مهم‌تری نسبت به حمله WannaCry دارد زیرا ماینر شبکه SMB را روی رایانه‌های آسیب‌دیده خاموش می‌کند و بنابراین از نصب تهدیدات بدافزار اضافی از طریق همان آسیب‌پذیری جلوگیری می‌کند. بنابراین، Adylkuzz ممکن است در واقع انتشار WannaCry را در آن دوره محدود کرده باشد. بیش از 20 میزبان برای اسکن و حمله در طول تحقیقات، همراه با بیش از دوجین سرور فرماندهی و کنترل Adylkuzz شناسایی شده است.

در حال حاضر، آسیب‌پذیری‌هایی که توسط ابزارهای هک EternalBlue و DoublePulsar فاش شده است، اصلاح شده‌اند، بنابراین از افراد و سازمان‌ها خواسته می‌شود رایانه‌های ویندوزی خود را همیشه به‌روز نگه دارند.