F5实验室的威胁研究人员发现了一起针对Apache Struts 2服务器的新活动，使用了Apache Struts 2 Jakarta Multipart Parser插件漏洞（CVE-2017-5638）。这起活动被认为拥有一些在之前从未发现过的独有特征：

采用C#语言编译自己的dropper；

下载一个.NET恶意软件；

将我国国内一个网络论坛作为它的命令和控制（C&C）服务器；

使用自己的文件加密解码器解码C&C命令。

而研究人员还强调，这些还只是这起活动所有特征中的一部分。

杀死监视应用程序

这起活动采用多个阶段进行，其中所有命令注入都使用Apache Struts 2 Jakarta Multipart Parser插件漏洞实现。

第一阶段涉及终止受感染设备上用于恶意软件检测和常用的监视工具。

攻击者使用taskkill命令强制（/f标记被使用）终止多个应用程序。