来源:腾讯御见威胁情报中心
一、概述
腾讯安全御见威胁情报中心监测到团伙利用ApacheStruts2远程命令执行漏洞攻击windows服务器,从团伙使用的文件列表来看,主要通过爆破或漏洞利用进行攻击,且针对windows服务器,已控制服务器270台左右,被下发挖矿木马的服务器有44台,该团伙挖取门罗币已赚得3.5万元。
二、详细分析
查看团伙HFS服务器文件列表,可以看到多个扫描爆破工具、漏洞利用工具、密码抓取工具、远程控制工具及端口转发工具。
爆破扫描模块
黑客使用1433扫描工具,配合密码表对sqlserver服务器进行爆破:
数字货币板块异动拉升 恒宝股份午后涨停:金色财经报道,午后数字货币板块异动走强,恒宝股份午后涨停,带动雄帝科技、高伟达、楚天龙等快速冲高。[2023/2/16 12:10:30]
3389爆破工具NLBrute1.2
S扫描器
THORChain将于2023年第一季度上线免清算的借贷项目:据官方消息,去中心化跨链交易协议THORChain 宣布将于2023年第一季度上线免清算的借贷项目。THORChain 表示,由于抵押品获得了系统中的权益,抵押品价值下降会降低系统的整体负债。[2022/12/20 21:56:20]
漏洞利用模块
ApacheStruts2远程命令执行漏洞利用
Willy Woo:代币流出交易所表明增持正在发挥作用:金色财经报道,链上分析师Willy Woo发推称,美元的强势(DXY)是这次最后的风险转移的赠品,比特币和股票需要 3-4 天才能反映。机构交易员的抛售规模与我们在 3AC 平仓中看到的规模相当,但这次代币流出交易所,表明增持正在发挥作用。[2022/8/21 12:38:57]
门罗币挖矿模块
对服务器入侵成功后,则下发挖矿挖矿模块2020.exe
矿池:xmr.f2pool.com:13531
钱包:
8aZSQhyDBCZokwmVd5HG5Gp7UrAeLVuVmZbKcs4rTZTx1UXGECxbePXha3qncffYYhJjG5FRGxM1scV9dbN62VCGiPdtQ
Do Kwon首次承认其是失败算法Stablecoin项目Basis Cash匿名成员:8月15日,Terra创始人Do Kwon在Terra崩盘后首次接受采访时表示,承认其是失败算法Stablecoin项目Basis Cash匿名成员Rick Sanchez,但未承认是 Basis Cash的联合创始人。
5月11日,据CoinDesk爆料,Terra创始人、Terraform Labs首席执行官Do Kwon是失败的算法Stablecoin项目Basis Cash背后的匿名联合创始人之一。该项目算法Stablecoin BAC于2021年年初脱锚后未能再次与美元重新锚定,目前价值不足1美分。
据Terraform Labs (TFL) 的前工程师Hyungsuk Kang爆料,Basis Cash实际上由Terra的一些早期创始成员创立,包括他自己和Do Kwon(化名Rick Sanchez)。[2022/8/15 12:26:49]
NFT项目Moonbirds COO将推出NFT基金121G:4月25日消息,NFT项目Moonbirds首席运营官Ryan Carson将推出一个专注于NFT的基金,名为121G,该基金称将会重点增持难以获得的蓝筹NFT,此外,该基金为506(c)滚动基金,每季度至少需要投资25枚以太坊,一年至少100枚以太坊。(Cryptobriefing)[2022/4/25 14:47:59]
目前已经挖到90个XMR,市值约35886人民币
端口转发工具ok.exe被ramnit蠕虫病感染
黑客服务器上的端口转发工具已经被ramnit感染,入口点被修改在最后一个.text节
RamnitC2:82.112.184.197:447,45.55.36.236:447,8.7.198.46:80
去掉ramnit感染代码后,实际上是一个端口转发工具
所以被入侵的windows服务器也同样会被感染Ramnit蠕虫病。Ramnit蠕虫病是影响Windows系统的计算机蠕虫。Ramnit感染可移动媒体,如USB驱动器,也隐藏在主引导记录中。主要感染.exe、.dll、.htm和.html扩展名的文件。2015年高峰时期,Ramnit曾经感染过超过300万台电脑。
三、同源分析
根据钱包地址进行关联,可以关联到F5研究团队在去年3月公布的“CryptoSink”行动中批量的钱包一样,当时已经挖掘到70个门罗币,可见这次挖矿攻击活动仍然跟“CryptoSink”关系较大。
四、安全建议
针对该黑产团伙的特点,我们建议企业用户参考以下方法解除风险:
1、建议修改远程桌面默认端口,或限制允许访问的IP地址;
2、升级ApacheStruts2至最新版,以修复安全漏洞。受影响版本Struts2.3.5–Struts2.3.31,Struts2.5–Struts2.5.10;
3、修改sqlserver密码,不要使用弱密码,弱密码非常容易被爆破入侵。SQL服务器被攻陷还可能导致严重的信息泄露风险。
IOCs
矿池:xmr.f2pool.com:13531钱包:48aZSQhyDBCZokwmVd5HG5Gp7UrAeLVuVmZbKcs4rTZTx1UXGECxbePXha3qncffYYhJjG5FRGxM1scV9dbN62VCGiPdtQ
URLhxxp://183.63.127.227:808/
MD5fabd73f8bf2bc803703778457c06893681c965ac62471ab62e85ca441d0031e6
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。