ProofPoint公司的安全專家們發現，相當一部分設備之所以未受WannaCry影響，是因為其已經被Adylkuzz成功感染。

近期引發軒然大波的WannaCry勒索軟件攻擊事件并非首例與美國NSA“永恒之藍”及“雙脈沖星”黑客工具相關的安全問題。

Proofpoint公司的研究人員們已經發現，隱藏式礦工Adylkuzz才是首例利用永恒之藍觸發服務器消息塊（簡稱SMB）協議內安全漏洞的實際威脅。

該僵尸網絡利用永恒之藍漏洞以提升惡意軟件傳播能力，同時通過雙脈沖星后門立足目標設備傳遞惡意有效載荷。

一旦該礦工程序感染了目標設備，后者將無法訪問共享型Windows資源、性能出現逐步下滑。而更值得注意的是，該惡意軟件還會關閉SMB網絡以防止所在設備被其它惡意軟件進一步感染。

這意味著受到Adylkuzz感染的設備將不會遭到WannaCry勒索軟件的破壞。換言之，如果沒有Adylkuzz的存在，此段時間爆發的、利用同一安全漏洞的大規模勒索軟件攻擊影響也許會更加嚴重。

安全研究人員卡芬內（Kafeine）解釋稱，“一部分大型企業于最初將最近報告的網絡問題歸因于WannaCry活動。然而需要強調的是，Adylkuzz的惡意活動能力明顯超越了WannaCry攻擊。這一攻擊活動仍在進行當中，盡管規模不及WannaCry，但影響范圍仍然相當可觀且擁有巨大的潛在破壞性。”

卡芬內推測稱，Adylkuzz惡意軟件可能已經修復了WannaCry所針對的安全漏洞，并由此限制了該勒索軟件的傳播規模。

Adylkuzz背后的惡意操縱者利用幾套專用虛擬服務器來實施攻擊，通過永恒之藍漏洞完成入侵活動，而后經由雙脈沖星后門程序以下載并執行Adylkuzz惡意軟件。

一旦Adylkuzz惡意軟件成功感染目標設備，這款礦工程序會首先停止其自身的一切潛在實例，同時阻止SMB通信以避免發生進一步感染。

其惡意代碼還會確定受害者的公共IP地址，而后下載采礦指令、Monero加密礦工程序以及清理工具。

卡芬內進一步補充稱，“其隨后會確定受害者的公共IP地址，而后下載采礦指令、加密礦工程序以及清理工具。就目前來看，Adylkuzz在任意給定時間段內都擁有多套負責托管加密礦工程序二進制代碼與采礦指令的命令與控制（簡稱C&C）服務器作為配合。”

根據對欺詐分子所使用的Monero地址進行采礦支付情況分析，可以判斷攻擊活動從今年4月24日就已經開始，而到5月11日該攻擊者應該已經切換到了新的采礦用戶地址。截至目前，該攻擊者總計通過三個不同的Monero地址收到約3萬3千美元付款。

目前Proofpoint公司已經確定了超過20臺用于掃描及攻擊的主機，同時發現了十余臺活躍Adylkuzz C&C服務器。E安全小編預計還將有更多Monero采礦付款地址與Adylkuzz C&C服務器同這一惡意活動有所關聯。