名為“Adylkuzz”的加密貨幣礦工通過 EternalBlue 和 DoublePulsar 惡意軟件攻擊網絡

雖然臭名昭著的 WannaCry 勒索軟件在 2017 年成為網絡安全新聞的頭條新聞，但惡意行為者同時利用相同的漏洞傳播名為 Adylkuzz 的加密貨幣礦工。與 WannaCry 一樣，Adylkuzz 使用洩露的 NSA 黑客工具來利用 Microsoft Windows 網絡漏洞並禁用受感染設備上的網絡，這使研究人員認為Adylkuzz在許多方面都早於 WannaCry 攻擊。

2017 年，一場大規模的勒索軟件攻擊利用EternalBlue感染了全球的 LAN 和無線網絡。 EternalBlue 已被確定為影子經紀人轉儲 NSA 黑客工具的一部分。它通過利用 TCP 端口 445 上的 Microsoft 服務器消息塊 MS17-010 漏洞發現易受攻擊的計算機並傳播惡意負載。將 EternalBlue 與另一個名為DoublePulsar的 NSA 後門工具結合使用，攻擊者安裝了臭名昭著的勒索軟件威脅WannaCry 。

然而，研究人員發現了另一種大規模攻擊，該攻擊也使用 EternalBlue 和 DoublePulsar 感染計算機，但這次是使用名為 Adylkuzz 的加密貨幣礦工。

這一發現是在故意暴露易受 EternalBlue 攻擊的實驗室機器後發現的。網絡安全研究人員發現，該設備通過 EternalBlue 成功利用後感染了 DoublePulsar。然後，DoublePulsar 為 Adylkuzz 從另一個主機運行開闢了道路。在阻止 SMB 通信後，礦工確定了受害者的公共 IP 地址並下載了挖礦指令以及某些清理工具。在此特定情況下，Adylkuzz 已被用於挖掘門羅幣加密貨幣。觀察與這次攻擊相關的幾個門羅幣地址之一表明，在向該地址支付了 22,000 美元後，挖礦停止了。每天與一個特定地址相關的挖礦支付也表明，攻擊者會定期在多個地址之間切換，以避免將過多的門羅幣轉移到一個地址。

Adylkuzz 的常見症狀包括無法訪問共享的 Windows 資源和 PC 性能下降。在幾起針對大型企業網絡的疑似 WannaCry 攻擊案例中，沒有贖金記錄意味著所報告的網絡問題實際上與 Adylkuzz 活動有關。研究人員甚至聲稱，Adylkuzz 安裝統計數據表明比 WannaCry 攻擊的影響要大得多，因為礦工會關閉受影響計算機上的 SMB 網絡，從而防止通過同一漏洞安裝其他惡意軟件威脅。因此，Adylkuzz 實際上可能在此期間限制了 WannaCry 的傳播。在調查過程中，已經確定了超過 20 台要掃描和攻擊的主機，以及十幾台活躍的 Adylkuzz 命令和控制服務器。

目前，洩露的 EternalBlue 和 DoublePulsar 黑客工具所利用的漏洞已得到修補，因此敦促個人和組織始終保持其 Windows 計算機為最新版本。