名为“Adylkuzz”的加密货币矿工通过 EternalBlue 和 DoublePulsar 恶意软件攻击网络

虽然臭名昭著的 WannaCry 勒索软件在 2017 年成为网络安全新闻的头条新闻，但恶意行为者同时利用相同的漏洞传播名为 Adylkuzz 的加密货币矿工。与 WannaCry 一样，Adylkuzz 使用泄露的 NSA 黑客工具来利用 Microsoft Windows 网络漏洞并禁用受感染设备上的网络，这使研究人员认为Adylkuzz在许多方面都早于 WannaCry 攻击。

2017 年，一场大规模的勒索软件攻击利用EternalBlue感染了全球的 LAN 和无线网络。 EternalBlue 已被确定为影子经纪人转储 NSA 黑客工具的一部分。它通过利用 TCP 端口 445 上的 Microsoft 服务器消息块 MS17-010 漏洞发现易受攻击的计算机并传播恶意负载。将 EternalBlue 与另一个名为DoublePulsar的 NSA 后门工具结合使用，攻击者安装了臭名昭著的勒索软件威胁WannaCry 。

然而，研究人员发现了另一种大规模攻击，该攻击也使用 EternalBlue 和 DoublePulsar 感染计算机，但这次是使用名为 Adylkuzz 的加密货币矿工。

这一发现是在故意暴露易受 EternalBlue 攻击的实验室机器后发现的。网络安全研究人员发现，该设备通过 EternalBlue 成功利用后感染了 DoublePulsar。然后，DoublePulsar 为 Adylkuzz 从另一个主机运行开辟了道路。在阻止 SMB 通信后，矿工确定了受害者的公共 IP 地址并下载了挖矿指令以及某些清理工具。在此特定情况下，Adylkuzz 已被用于挖掘门罗币加密货币。观察与这次攻击相关的几个门罗币地址之一表明，在向该地址支付了 22,000 美元后，挖矿停止了。每天与一个特定地址相关的挖矿支付也表明，攻击者会定期在多个地址之间切换，以避免将过多的门罗币转移到一个地址。

Adylkuzz 的常见症状包括无法访问共享的 Windows 资源和 PC 性能下降。在几起针对大型企业网络的疑似 WannaCry 攻击案例中，没有赎金记录意味着所报告的网络问题实际上与 Adylkuzz 活动有关。研究人员甚至声称，Adylkuzz 安装统计数据表明比 WannaCry 攻击的影响要大得多，因为矿工会关闭受影响计算机上的 SMB 网络，从而防止通过同一漏洞安装其他恶意软件威胁。因此，Adylkuzz 实际上可能在此期间限制了 WannaCry 的传播。在调查过程中，已经确定了超过 20 台要扫描和攻击的主机，以及十几台活跃的 Adylkuzz 命令和控制服务器。

目前，泄露的 EternalBlue 和 DoublePulsar 黑客工具所利用的漏洞已得到修补，因此敦促个人和组织始终保持其 Windows 计算机为最新版本。