来源:腾讯御见威胁情报中心
一、概述
腾讯安全御见威胁情报中心监测到团伙利用ApacheStruts2远程命令执行漏洞攻击windows服务器,从团伙使用的文件列表来看,主要通过爆破或漏洞利用进行攻击,且针对windows服务器,已控制服务器270台左右,被下发挖矿木马的服务器有44台,该团伙挖取门罗币已赚得3.5万元。
二、详细分析
查看团伙HFS服务器文件列表,可以看到多个扫描爆破工具、漏洞利用工具、密码抓取工具、远程控制工具及端口转发工具。
爆破扫描模块
黑客使用1433扫描工具,配合密码表对sqlserver服务器进行爆破:
法官将Genesis提交恢复计划的截止日期延长至8月2日:金色财经报道,负责Genesis破产案的法官Sean Lane延长了该公司必须提交恢复计划的日期。Genesis现在必须在2023年8月2日之前提交其计划,而该公司原打算将该期限延长至8月27日。延长的最后期限取决于该公司是否继续与其无担保债权人官方委员会就计划进行合作。如果讨论破裂,委员会可以在提前7天通知的情况下请求终止延长的提交期限的动议。
此前今日早些时候消息,破产法官已延长Genesis与债权人之间的调解期至6月16日。[2023/6/6 21:18:28]
3389爆破工具NLBrute1.2
比特币全网交易数量为576989笔:金色财经报道,BTC.com数据显示,目前比特币全网交易数量为576989笔,全网算力为364.47EH/s,24小时交易速率为2.64交易/秒,目前全网难度为49.55T,预测下次难度上调2.84%至50.96T,距离调整还剩5天14小时。[2023/5/26 9:44:18]
S扫描器
漏洞利用模块
ApacheStruts2远程命令执行漏洞利用
qianbaidu.eth等聪明钱地址再次买入PEPE:5月8日消息,Lookonchain监测数据显示,在此前公布的PEPE十大聪明钱地址中,0x9cd6在4小时前用11枚ETH(20861美元)买入73亿枚PEPE。该地址曾以2128枚ETH(418万美元)的价格卖出17.5亿枚PEPE,之后开始再次买入PEPE,以获取利润。该地址以0.000002922美元的均价,用1374枚ETH(274万美元)总共买入9365亿枚PEPE。0x45cf继续出售PEPE,并以1ETH(1858美元)买入2.27亿枚CAPY。qianbaidu.eth再次买入PEPE,并出售TRUBO。qianbaidu.eth在过去24小时内以0.000002649美元的均价,用271枚ETH(51.4万美元)买入1940亿枚PEPE。qianbaidu.eth用382枚ETH买入2.85亿枚TURBO。该地址以246枚ETH的价格出售TRUBO,损失达136枚ETH(29.1万美元)。0x13b3在2小时前以0.000002585美元的均价,以25.6万枚USDC的价格出售990亿枚PEPE。该地址目前持有4000亿枚PEPE(100万美元)。[2023/5/8 14:49:39]
门罗币挖矿模块
Michael Saylor不担任CEO后MicroStrategy股价上涨超10%:金色财经报道,在迈克尔·塞勒(Michael Saylor)宣布辞去MicroStrategy首席执行官一职消息发布后,周三市场开盘后该公司股票的交易价格上涨了 10% 以上。这家以大胆押注比特币而闻名的软件公司的股票在撰写本文时的交易价格为320.19美元,而周二收盘价为284.72美元,涨幅已经达到15.07%。(The Block)[2022/8/4 2:57:47]
对服务器入侵成功后,则下发挖矿挖矿模块2020.exe
矿池:xmr.f2pool.com:13531
钱包:
8aZSQhyDBCZokwmVd5HG5Gp7UrAeLVuVmZbKcs4rTZTx1UXGECxbePXha3qncffYYhJjG5FRGxM1scV9dbN62VCGiPdtQ
目前已经挖到90个XMR,市值约35886人民币
端口转发工具ok.exe被ramnit蠕虫病感染
黑客服务器上的端口转发工具已经被ramnit感染,入口点被修改在最后一个.text节
RamnitC2:82.112.184.197:447,45.55.36.236:447,8.7.198.46:80
去掉ramnit感染代码后,实际上是一个端口转发工具
所以被入侵的windows服务器也同样会被感染Ramnit蠕虫病。Ramnit蠕虫病是影响Windows系统的计算机蠕虫。Ramnit感染可移动媒体,如USB驱动器,也隐藏在主引导记录中。主要感染.exe、.dll、.htm和.html扩展名的文件。2015年高峰时期,Ramnit曾经感染过超过300万台电脑。
三、同源分析
根据钱包地址进行关联,可以关联到F5研究团队在去年3月公布的“CryptoSink”行动中批量的钱包一样,当时已经挖掘到70个门罗币,可见这次挖矿攻击活动仍然跟“CryptoSink”关系较大。
四、安全建议
针对该黑产团伙的特点,我们建议企业用户参考以下方法解除风险:
1、建议修改远程桌面默认端口,或限制允许访问的IP地址;
2、升级ApacheStruts2至最新版,以修复安全漏洞。受影响版本Struts2.3.5–Struts2.3.31,Struts2.5–Struts2.5.10;
3、修改sqlserver密码,不要使用弱密码,弱密码非常容易被爆破入侵。SQL服务器被攻陷还可能导致严重的信息泄露风险。
IOCs
矿池:xmr.f2pool.com:13531钱包:48aZSQhyDBCZokwmVd5HG5Gp7UrAeLVuVmZbKcs4rTZTx1UXGECxbePXha3qncffYYhJjG5FRGxM1scV9dbN62VCGiPdtQ
URLhxxp://183.63.127.227:808/
MD5fabd73f8bf2bc803703778457c06893681c965ac62471ab62e85ca441d0031e6
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。