F5は2017年12月19日(米国時間)、「Linux And Windows Machines Being Attacked By "Zealot" Campaign To Mine Cryptocurrency」において、同社のサイバー脅威研究者らがApache Strutsを標的とした新しいサイバーキャンペーンが展開されていることを発見したと伝えた。

このキャンペーンでは、内部ネットワークに対してかなり洗練された多段攻撃を実施するとしており、攻撃には米国国家安全保障局(NSA)が開発に関与したとされているエクスプロイトキット「EternalBlue」「EternalSynergy」が使われるという。

このキャンペーンはエクスプロイトキットに含まれていたzipファイルの名前から「Zealot」と呼ばれている。現段階では次の事実が明らかになったとされている。

  • Apache Strutsを対象としたこのサイバーキャンペーンはWindowsおよびLinuxシステムを標的にしている
  • Zealotはかなり洗練されており、高度な隠蔽能力と多段攻撃機能を持っている
  • 「CVE-2017-5638: Apache Struts Jakarta Multipart Parser attack」および「CVE-2017-9822: DotNetNuke (DNN) content management system vulnerability」という2つの脆弱性を悪用している
  • 内部ネットワークの移動にはエクスプロイトキット「EternalBlue」「EternalSynergy」が使われている
  • Windows向けには高度に難読化されたPowerShellエージェントが、Linux/OSX向けにはPythonエージェントが用いられている
  • 現在サイバー犯罪者の間で人気が高まっているMoneroと呼ばれる仮想通貨のマイニングを実施している
  • 名前の元となったzealot.zipファイルの中身 - 資料: F5提供

    キャンペーンの名称の由来となったzealot.zipファイルの中身 - 資料: F5 Networks

同社はこのサイバーキャンペーンの動向を今後も調査するとしており、新しい事実が発見されれば随時公開するとしている。