近日，來自F5 Networks的研究人員Maxim Zavodchik和Liron Segal發現了一起新的惡意軟件攻擊活動。這起活動運用了復雜且高度混淆的多階段攻擊技術，并將攻擊目標設定為易受攻擊的Linux和Windows服務器。

研究人員表示，Zealot活動目前最直接目的是利用被攻陷的服務器挖掘門羅幣（Monero）。但只要攻擊者原意，他們可以利用這些服務器做他們想要做的任何事情。

根據在目標服務器發現的包含包含python腳本的壓縮文件“Zealot.zip”，F5 Networks將這起攻擊活動命名為“Zealot”。

根據F5 Networks的說法，攻擊者正通過掃描互聯網來尋找易受以下兩個漏洞影響的服務器： CVE-2017-5638（RCE遠程代碼執行漏洞）和CVE-2017-9822（DotNetNuke任意代碼執行漏洞）。

這是兩個已知的安全漏洞，曾在Equifax數據泄露事件中被廣泛利用。但如果某些服務器沒有安裝對應的安全補丁，則仍將會成為受害者。

在Zealot活動中，攻擊者利用這兩個漏洞開發了能夠同時針對Linux和Windows服務器發起攻擊的惡意軟件。

如果被攻擊的是Windows服務器，攻擊者還將部署遭泄露的NSA黑客工具EternalBlue（永恒之藍）和EternalSynergy（永恒協作），用以在受害者本地網絡中感染更多的設備。

在之后，他們將使用PowerShell來下載并安裝最后階段的惡意軟件。正如文章開頭所說，在Zealot活動中，惡意軟件是一個門羅幣挖礦工具。

在Linux服務器上，攻擊者將使用似乎從EmpireProject后期開發框架中獲得的Python腳本來下載并安裝門羅幣挖礦工具。

F5 Networks表示，由于門羅幣的高度匿名性，門羅幣已經越來越成為了更多網絡犯罪分子的首選目標。

從收集到的門羅幣錢包地址來看，攻擊者至少從Zealot活動中獲取到了價值8500美元的門羅幣。由于攻擊者很可能還使用了其他門羅幣錢包，這意味著這個數值只可能會更高。

研究人員還指出，被攻陷的服務器被利用來挖掘門羅幣只是其中一種用途，攻擊者還可以利用這些服務器來干更多的事情。比如，將挖礦工具轉換成勒索軟件。

另外，F5 Networks還發現了一些有趣的東西，Zealot活動背后的攻擊者似乎是《星際爭霸（StarCraft）》的忠實粉絲。因為，活動中使用的許多術語和文件名都來自這款游戲，比如狂熱者（Zealot）、觀察者（Observer）、霸王（Overlord）、烏鴉（Raven）等等。