Công cụ khai thác tiền điện tử có tên 'Adylkuzz' tấn công mạng thông qua phần mềm độc hại EternalBlue và DoublePulsar

Trong khi phần mềm độc hại nổi tiếng WannaCry Ransomware xuất hiện trên các tin tức an ninh mạng vào năm 2017, thì những kẻ độc hại đã đồng thời sử dụng cùng một cách khai thác để phát tán một công cụ khai thác tiền điện tử có tên Adylkuzz. Giống như WannaCry, Adylkuzz đã sử dụng các công cụ hack NSA bị rò rỉ để tận dụng lỗ hổng mạng của Microsoft Windows và vô hiệu hóa mạng trên các thiết bị bị nhiễm, khiến các nhà nghiên cứu tin rằng Adylkuzz đã có trước các cuộc tấn công của WannaCry theo nhiều cách.

Vào năm 2017, một cuộc tấn công ransomware lớn đã khai thác EternalBlue để lây nhiễm các mạng LAN và mạng không dây trên toàn thế giới. EternalBlue đã được xác định là một phần của công cụ hack của NSA Shadow Brokers. Nó phát hiện ra các máy tính dễ bị tấn công và phát tán các trọng tải độc hại bằng cách tận dụng lỗ hổng Microsoft Server Message Block MS17-010 trên cổng TCP 445. Kết hợp EternalBlue với một công cụ backdoor khác của NSA có tên DoublePulsar , những kẻ tấn công đã cài đặt mối đe dọa ransomware khét tiếng WannaCry .

Tuy nhiên, các nhà nghiên cứu đã phát hiện một cuộc tấn công quy mô lớn khác cũng sử dụng cả EternalBlue và DoublePulsar để lây nhiễm các máy tính, nhưng lần này là với một công cụ khai thác tiền điện tử có tên Adylkuzz.

Khám phá được đưa ra sau khi cố tình để lộ một máy thí nghiệm dễ bị tấn công bởi EternalBlue. Các nhà nghiên cứu an ninh mạng đã phát hiện ra rằng thiết bị đã bị nhiễm DoublePulsar khi khai thác thành công thông qua EternalBlue. Sau đó, DoublePulsar đã mở đường cho Adylkuzz chạy từ một máy chủ khác. Sau khi chặn giao tiếp SMB, người khai thác xác định địa chỉ IP công khai của nạn nhân và tải xuống hướng dẫn khai thác cùng với một số công cụ dọn dẹp nhất định. Adylkuzz đã được sử dụng để khai thác tiền điện tử Monero trong trường hợp cụ thể này. Quan sát một trong số các địa chỉ Monero liên quan đến cuộc tấn công này cho thấy rằng việc khai thác đã ngừng sau khi trả 22.000 đô la cho địa chỉ đó. Các khoản thanh toán khai thác mỗi ngày được liên kết với một địa chỉ cụ thể cũng cho thấy rằng những kẻ tấn công thường xuyên chuyển đổi giữa một số địa chỉ để tránh quá nhiều đồng Monero được chuyển đến một địa chỉ duy nhất.

Các triệu chứng phổ biến của Adylkuzz bao gồm mất quyền truy cập vào tài nguyên Windows được chia sẻ và hiệu suất PC giảm sút. Trong một số trường hợp nghi ngờ WannaCry tấn công vào các mạng công ty quy mô lớn, việc thiếu thông báo đòi tiền chuộc ngụ ý rằng các vấn đề mạng được báo cáo thực sự có liên quan đến hoạt động của Adylkuzz. Các nhà nghiên cứu thậm chí còn tuyên bố rằng số liệu thống kê về lượt cài đặt Adylkuzz cho thấy tác động đáng kể hơn nhiều so với cuộc tấn công WannaCry khi người khai thác đóng mạng SMB trên các máy tính bị ảnh hưởng và do đó ngăn chặn việc cài đặt thêm các mối đe dọa phần mềm độc hại thông qua cùng một lỗ hổng. Do đó, Adylkuzz có thể đã thực sự hạn chế sự lan truyền của WannaCry trong khoảng thời gian đó. Hơn 20 máy chủ để quét và tấn công đã được xác định trong quá trình điều tra, cùng với hơn một chục Máy chủ điều khiển và chỉ huy Adylkuzz đang hoạt động.

Hiện tại, các lỗ hổng được khai thác bởi các công cụ hack EternalBlue và DoublePulsar bị rò rỉ đã được vá, vì vậy các cá nhân và tổ chức được khuyến khích luôn cập nhật máy tính Windows của họ.