WannaCry勒索軟件爆發的余波中，安全研究人員發現，過去幾周里還有其他大量攻擊同樣利用了“永恒之藍”漏洞利用程序進行惡意軟件投放。

該漏洞利用在4月份被自稱“影子經紀人”的黑客團伙公開，是個針對 TCP 445 端口上服務器消息塊(SMB)漏洞的利用程序，據說是從NSA御用黑客組織“方程式小組”手上偷來的。該程序所利用的漏洞其實早在3月份就放出了修復補丁。

WannaCry的快速傳播將“永恒之藍”推到了臺前，但其他惡意軟件家族早在WannaCry之前就已經在用它進行感染了。其中之一就是名為Adylkuzz的僵尸網絡，自4月24日開始活躍。

如今，初創安全公司Cyphort稱，一臺蜜罐服務器上的證據表明，對SMB的攻擊在5月初開始活躍，但不釋放勒索軟件，而是放出隱秘遠程訪問木馬(RAT)。該惡意軟件沒有蠕蟲功能，不會像WannaCry一樣傳播。

該惡意軟件似乎是從中國的一個IP(182.18.23.38)分發的。如果漏洞利用成功，加密載荷會以shellcode的形式發出，其中嵌入了一個DLL，具備木馬的基本功能，比如下載其他惡意軟件和接收控制者的指令。

該惡意軟件下載的文件當中，有一個文件的功能就是關閉445端口，防止其他惡意軟件也利用該漏洞。另一個文件應該是個第二階段的攻擊載荷。該RAT會設置一系列注冊表啟動項，用以下載和執行其他惡意軟件。

該惡意軟件會嘗試刪除一些用戶，停止/刪除各種進程/文件。內存轉儲分析揭示，它會去連接托管在中國網站上的一個遠程訪問工具——ForShare 8.28。

該RAT功能全面，可以從服務器接收并執行指令，監視屏幕，捕獲音頻視頻，監視鍵盤，傳輸數據，刪除文件，終止進程，執行程序，枚舉文件和進程，下載文件，以及控制機器。

因為一上來就關閉445端口，Cyphort認為，該威脅肯定知道“永恒之藍”漏洞，并且試圖讓其他惡意軟件無法再碰有該漏洞的機器。

Cyphort安全公司稱：“我們認為，該攻擊背后的組織，應該就是2月份卡巴斯基實驗室發現的傳播Mirai的那個。他們的攻擊指標(IOC)存在共同點。”

本周一份報告中，Secdo同樣宣稱，發現了在WannaCry之前幾周就有惡意軟件利用“永恒之藍”的證據。其中一個惡意程序，似乎還是會盜取用戶憑證的勒索軟件家族。

該公司研究人員稱：“自4月中旬起，就有一波不留痕跡的隱秘攻擊在利用NSA漏洞利用程序感染各大公司。勒索軟件是其中最明顯的載荷，但下面還深藏著更復雜的攻擊沒有被人注意到。”

作為該攻擊的一部分，黑客用了基于“永恒之藍”的一個蠕蟲來感染被侵入網絡中的所有主機，并在主機上部署后門或滲漏登錄憑證，以期長期掌控這些主機。

其中一個攻擊源于俄羅斯的IP(77.72.84.11)。利用NSA漏洞利用程序侵入后，攻擊者在合法應用中創建一個線程，從SourceForge下載多個模塊，包括 SQLite DLL，用來從火狐瀏覽器中盜取登錄憑證。

被盜數據通過TOR網絡滲漏出去，然后純內存運行的CRY128勒索軟件變種被啟動，將系統上所有文檔加密。

最近發現的通過“永恒之藍”傳播的UIWIX勒索軟件，同樣只在內存執行，形成無文件感染。UIWIX也包含用來盜取更多憑證的代碼。

另一個攻擊涉及中國黑客，會在被感染主機上投放一個后門。該攻擊始于進程注入，與上面所述攻擊類似，但最后終結在下載某已知rootkit后門上(基于Agony)。被下載的文件名為666.exe，已經被殺毒軟件封禁了。

Secdo指出：“鑒于以上發現，我們推測，傷害范圍可能之前認為的要大很多。至少有3個不同組織，自4月底開始，就在利用NSA漏洞利用程序來感染企業網絡。”

今年1月，影子經紀人拍賣SMB零日漏洞利用的時候，美國計算機應急響應小組(US-CERT)就發出了一個警告。2月，Windows SMBv3 零日漏洞 (CVE-2017-0016)被評估為高嚴重性級別——之前只是關鍵級別。