ماینر ارزهای دیجیتال به نام Adylkuzz از طریق بدافزار EternalBlue و DoublePulsar به شبکه ها حمله می کند
در حالی که باجافزار بدنام WannaCry در سال 2017 به تیتر اخبار امنیت سایبری تبدیل شد، بازیگران مخرب به طور همزمان از همان سوء استفادهها برای انتشار یک ماینر ارز دیجیتال به نام Adylkuzz استفاده میکردند. مانند WannaCry، Adylkuzz از ابزارهای هک NSA درز کرده برای استفاده از آسیبپذیری شبکه مایکروسافت ویندوز و غیرفعال کردن شبکه در دستگاههای آلوده استفاده کرد، که باعث میشود محققان بر این باورند که Adylkuzz از بسیاری جهات قبل از حملات WannaCry بوده است.
در سال 2017، یک حمله باجافزار عظیم از EternalBlue برای آلوده کردن شبکههای محلی و شبکههای بیسیم در سراسر جهان سوء استفاده کرد. EternalBlue به عنوان بخشی از ابزارهای هک NSA توسط Shadow Brokers شناسایی شده است. این رایانههای آسیبپذیر را کشف میکند و با استفاده از آسیبپذیری Microsoft Server Message Block MS17-010 در پورت TCP 445، محمولههای مخرب را منتشر میکند. مهاجمان با ترکیب EternalBlue با ابزار درپشتی دیگر NSA به نام DoublePulsar ، تهدید بدنام باجافزار WannaCry را نصب کردند.
با این حال، محققان یک حمله در مقیاس بزرگ دیگر را شناسایی کردند که از EternalBlue و DoublePulsar نیز برای آلوده کردن رایانهها استفاده میکرد، اما این بار با یک ماینر ارز دیجیتال به نام Adylkuzz.
این کشف پس از افشای عمدی یک ماشین آزمایشگاهی آسیب پذیر در برابر EternalBlue انجام شد. محققان امنیت سایبری دریافتند که دستگاه پس از بهره برداری موفقیت آمیز از طریق EternalBlue به DoublePulsar آلوده شده است. سپس DoublePulsar راه را برای اجرای Adylkuzz از میزبان دیگری باز کرد. پس از مسدود کردن ارتباطات SMB، ماینر آدرس IP عمومی قربانی را تعیین کرد و دستورالعملهای استخراج را همراه با ابزارهای پاکسازی خاص دانلود کرد. Adylkuzz برای استخراج ارز دیجیتال Monero در این نمونه خاص استفاده شده است. مشاهده یکی از چندین آدرس Monero مرتبط با این حمله نشان می دهد که استخراج پس از پرداخت 22000 دلار به آن آدرس متوقف شده است. پرداختهای ماینینگ در روز مرتبط با یک آدرس خاص نیز نشان میدهد که مهاجمان به طور منظم بین چندین آدرس جابجا میشوند تا از انتقال بیش از حد سکههای Monero به یک آدرس جلوگیری کنند.
علائم رایج Adylkuzz شامل از دست دادن دسترسی به منابع مشترک ویندوز و بدتر شدن عملکرد رایانه شخصی است. در چندین مورد از حملات مشکوک WannaCry به شبکه های شرکتی در مقیاس بزرگ، فقدان یادداشت باج به این معنی است که مشکلات شبکه گزارش شده در واقع با فعالیت Adylkuzz مرتبط بوده است. محققان حتی ادعا میکنند که آمار نصب Adylkuzz تأثیر بسیار مهمتری نسبت به حمله WannaCry دارد زیرا ماینر شبکه SMB را روی رایانههای آسیبدیده خاموش میکند و بنابراین از نصب تهدیدات بدافزار اضافی از طریق همان آسیبپذیری جلوگیری میکند. بنابراین، Adylkuzz ممکن است در واقع انتشار WannaCry را در آن دوره محدود کرده باشد. بیش از 20 میزبان برای اسکن و حمله در طول تحقیقات، همراه با بیش از دوجین سرور فرماندهی و کنترل Adylkuzz شناسایی شده است.
در حال حاضر، آسیبپذیریهایی که توسط ابزارهای هک EternalBlue و DoublePulsar فاش شده است، اصلاح شدهاند، بنابراین از افراد و سازمانها خواسته میشود رایانههای ویندوزی خود را همیشه بهروز نگه دارند.