挖矿僵尸网络在 WannaCry 前利用相同的 NSA 的黑客工具

勒索软件WannaCry 过去的一个周末引起了全球关注，它利用了 NSA 开发的网络战工具进行传播。安全研究人员发现，在 WannaCry 之前就有挖掘数字货币的僵尸网络使用了相同的 NSA 黑客工具。这次攻击不是为了安装勒索软件，而是安装挖矿软件 Adylkuzz。攻击者利用了神秘组织 Shadow Brokers 泄漏的 NSA 工具，包括代号为 EternalBlue 的漏洞利用和名为 DoublePulsar 的后门。这次攻击比 WannaCry 早大约两周时间，最早始于 4 月 24 日，最晚不迟于 5 月 2 日。攻击者首先是扫描 TCP 端口 445，寻找潜在的目标，如果成功被 EternalBlue 利用，机器将会感染 DoublePulsar 后门，然后下载和运行 Adylkuzz，挖掘名为门罗币（Monero）的匿名数字货币。