F5は2017年12月19日(米国時間)、「Linux And Windows Machines Being Attacked By "Zealot" Campaign To Mine Cryptocurrency」において、同社のサイバー脅威研究者らがApache Strutsを標的とした新しいサイバーキャンペーンが展開されていることを発見したと伝えた。
このキャンペーンでは、内部ネットワークに対してかなり洗練された多段攻撃を実施するとしており、攻撃には米国国家安全保障局(NSA)が開発に関与したとされているエクスプロイトキット「EternalBlue」「EternalSynergy」が使われるという。
このキャンペーンはエクスプロイトキットに含まれていたzipファイルの名前から「Zealot」と呼ばれている。現段階では次の事実が明らかになったとされている。
- Apache Strutsを対象としたこのサイバーキャンペーンはWindowsおよびLinuxシステムを標的にしている
- Zealotはかなり洗練されており、高度な隠蔽能力と多段攻撃機能を持っている
- 「CVE-2017-5638: Apache Struts Jakarta Multipart Parser attack」および「CVE-2017-9822: DotNetNuke (DNN) content management system vulnerability」という2つの脆弱性を悪用している
- 内部ネットワークの移動にはエクスプロイトキット「EternalBlue」「EternalSynergy」が使われている
- Windows向けには高度に難読化されたPowerShellエージェントが、Linux/OSX向けにはPythonエージェントが用いられている
- 現在サイバー犯罪者の間で人気が高まっているMoneroと呼ばれる仮想通貨のマイニングを実施している
同社はこのサイバーキャンペーンの動向を今後も調査するとしており、新しい事実が発見されれば随時公開するとしている。