据外媒 22 日报道,网络安全专家发现至少有 3 个黑客组织在勒索软件 WannaCry 爆发数周前就已利用 NSA EternalBlue SMB 漏洞开展大规模黑客活动。
黑客组织 “ Shadow Brokers ”( 影子经纪人 )于今年 4 月披露 SMB 协议漏洞后没多久,多个黑客组织就已利用该漏洞展开大规模网络攻击,例如自 4 月 24 日起就处于活跃状态的僵尸网络 Adylkuzz。
网络安全公司 Cyphort 在蜜罐服务器中检测到某黑客组织曾于 5 月初利用 SMB 漏洞提供远程访问木马(RAT)隐藏服务,尽管后者并未显示出类似于 WannaCry 勒索软件的网络蠕虫功能。但 Cyphort 分析报告指出,一旦该漏洞被成功利用,攻击者将发送加密 payload 感染目标系统、关闭 445 端口以防止其他恶意软件滥用同一漏洞。
此外,该报告还包括一些特殊威胁指标,例如 C&C 服务器可以向恶意软件发送各种命令,其中包括监控屏幕、捕获音频与视频、读取击键记录、传输数据、删除文件、终止进程、下载执行文件等多种操作。
安全公司 Secdo 也表示,黑客组织早在 4 月中旬就已利用基于 EternalBlue 漏洞感染受损网络中的所有机器并渗透登录凭据。当月下旬,Secdo 安全专家还发现另一起利用 EthernalBlue 漏洞的攻击事件,或与利用僵尸网络分发后门的某中国黑客组织有关。此外,Heimdal 安全专家也于近期发现无文件恶意软件 UIWIX 利用 EternalBlue 漏洞在受感染系统的内存中运行。
总而言之,在勒索软件 WannaCry 肆意传播之前,至少有 3 个黑客组织已利用 NSA 黑客工具开展网络攻击活动。这在很大程度上意味着安全社区未能及时监控威胁或共享所观察到的攻击信息。
原作者: Pierluigi Paganini, 译者:青楚,译审:游弋
from hackernews.cc.thanks for it.