RAM:黑产团伙利用Apache Struts 2漏洞及SQL爆破控制服务器挖矿

来源:腾讯御见威胁情报中心

一、概述

腾讯安全御见威胁情报中心监测到团伙利用ApacheStruts2远程命令执行漏洞攻击windows服务器,从团伙使用的文件列表来看,主要通过爆破或漏洞利用进行攻击,且针对windows服务器,已控制服务器270台左右,被下发挖矿木马的服务器有44台,该团伙挖取门罗币已赚得3.5万元。

二、详细分析

查看团伙HFS服务器文件列表,可以看到多个扫描爆破工具、漏洞利用工具、密码抓取工具、远程控制工具及端口转发工具。

爆破扫描模块

黑客使用1433扫描工具,配合密码表对sqlserver服务器进行爆破:

0xScope:持有近8万枚比特币的巨鲸已沉睡12年,并未转出资金:金色财经报道,据0xScope监测显示,拥有79957枚比特币的巨鲸已经沉睡12年,并没有比特币转出。据推测,该地址属于Mt.Gox黑客,一直无比特币转出,但这些年里有若干笔随机收到的小于0.00001枚BTC的资金转入。[2023/4/25 14:25:26]

3389爆破工具NLBrute1.2

孙宇晨地址从Circle取出8000万枚USDC:2月15日消息,据Lookonchain监测,被Etherscan标记为孙宇晨的地址从Circle地址取出8000万枚USDC。[2023/2/15 12:08:55]

S扫描器

漏洞利用模块

ApacheStruts2远程命令执行漏洞利用

CZ:Binance将实施V神新想法并为行业开源:11月20日消息,在Vitalik Buterin发布新文章《拥有一个安全的CEX:证明偿付能力及其他》后,Binance首席执行官CZ在社交媒体上表示将致力于Vitalik的新想法,并坦言自己不太明白Vitalik Buterin文章里的所有方程式,但Binance团队会实施其想法并为行业开源。

此前报道,Vitalik Buterin分析了交易平台进行去中心化资产证明的尝试历史、技术局限性,以及如何使用ZK-SNARK和其他先进技术来极大地简化和改进目前Merkle tree资产证明协议中的隐私问题和稳健性。[2022/11/20 22:09:32]

以太坊反弹后持有 1+ 和 10+ ETH钱包数量两指标同时创历史新高:金色财经报道,根据区块链数据分析平台Glassnode数据显示,随着过去几天ETH价格增长超30%之后,持有 1+ 和 10+ 以太币的以太坊钱包数量已跃升至历史新高,前者已达到 1,566,309 个,后者已增加到 310,656 个。除此之外,持有ETH的非零钱包总量也已升至新的历史新高 84,641,107个。(u.today)[2022/7/31 2:48:35]

门罗币挖矿模块

对服务器入侵成功后,则下发挖矿挖矿模块2020.exe

矿池:xmr.f2pool.com:13531

视频流媒体平台Livepeer公布NFTBerlin 2022黑客松Livepeer奖池获奖项目:6月10日消息,视频流媒体平台Livepeer公布NFTBerlin 2022黑客松中Livepeer奖池的获奖项目,第一名为Learn 2 earn平台BSquare,该平台旨在帮助Web2建设者进入Web3世界;第二名为双向Livepeer支持的流媒体平台Metastream,该平台支持在元宇宙内外共享内容;第三名为验证协议Videoracle,该平台使用户能够因帮助改进产品、服务和社区而获得奖励。[2022/6/10 4:16:51]

钱包:

8aZSQhyDBCZokwmVd5HG5Gp7UrAeLVuVmZbKcs4rTZTx1UXGECxbePXha3qncffYYhJjG5FRGxM1scV9dbN62VCGiPdtQ

目前已经挖到90个XMR,市值约35886人民币

端口转发工具ok.exe被ramnit蠕虫病感染

黑客服务器上的端口转发工具已经被ramnit感染,入口点被修改在最后一个.text节

RamnitC2:82.112.184.197:447,45.55.36.236:447,8.7.198.46:80

去掉ramnit感染代码后,实际上是一个端口转发工具

所以被入侵的windows服务器也同样会被感染Ramnit蠕虫病。Ramnit蠕虫病是影响Windows系统的计算机蠕虫。Ramnit感染可移动媒体,如USB驱动器,也隐藏在主引导记录中。主要感染.exe、.dll、.htm和.html扩展名的文件。2015年高峰时期,Ramnit曾经感染过超过300万台电脑。

三、同源分析

根据钱包地址进行关联,可以关联到F5研究团队在去年3月公布的“CryptoSink”行动中批量的钱包一样,当时已经挖掘到70个门罗币,可见这次挖矿攻击活动仍然跟“CryptoSink”关系较大。

四、安全建议

针对该黑产团伙的特点,我们建议企业用户参考以下方法解除风险:

1、建议修改远程桌面默认端口,或限制允许访问的IP地址;

2、升级ApacheStruts2至最新版,以修复安全漏洞。受影响版本Struts2.3.5–Struts2.3.31,Struts2.5–Struts2.5.10;

3、修改sqlserver密码,不要使用弱密码,弱密码非常容易被爆破入侵。SQL服务器被攻陷还可能导致严重的信息泄露风险。

IOCs

矿池:xmr.f2pool.com:13531钱包:48aZSQhyDBCZokwmVd5HG5Gp7UrAeLVuVmZbKcs4rTZTx1UXGECxbePXha3qncffYYhJjG5FRGxM1scV9dbN62VCGiPdtQ

URLhxxp://183.63.127.227:808/

MD5fabd73f8bf2bc803703778457c06893681c965ac62471ab62e85ca441d0031e6

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

金星链

[0:109ms0-1:62ms