黑产团伙利用Apache Struts 2漏洞及SQL爆破控制服务器挖矿_AMN:UTS

来源:腾讯御见威胁情报中心

一、概述

腾讯安全御见威胁情报中心监测到团伙利用ApacheStruts2远程命令执行漏洞攻击windows服务器,从团伙使用的文件列表来看,主要通过爆破或漏洞利用进行攻击,且针对windows服务器,已控制服务器270台左右,被下发挖矿木马的服务器有44台,该团伙挖取门罗币已赚得3.5万元。

二、详细分析

查看团伙HFS服务器文件列表,可以看到多个扫描爆破工具、漏洞利用工具、密码抓取工具、远程控制工具及端口转发工具。

爆破扫描模块

黑客使用1433扫描工具,配合密码表对sqlserver服务器进行爆破:

欧洲央行:公共部门应建立全面的监管框架,解决与加密相关的社会和环境风险:金色财经报道,欧洲中央银行(ECB)董事会成员FabioPanetta在第22届国际清算银行年会上关于加密货币未来的小组上表示,加密资产已被推广为去中心化的替代品,有望提供更具弹性的金融服务。然而,现实并没有兑现这一承诺。支持加密资产的区块链技术可能非常缓慢、能源密集且可扩展性不足。由于处理复杂且价格波动较大,加密资产在日常交易中的实用性较低。

为了解决这些缺点,加密生态系统改变了它的叙述方式,支持更集中的组织形式,强调加密投机和快速获利。但最近发生的事件暴露了加密生态系统的脆弱性,表明人们对加密资产的信心消失得有多快。在许多方面,这个生态系统重现了区块链技术最初想要解决的缺点和漏洞。

公共部门应采取坚定的立场,建立全面的监管框架,解决与加密相关的社会和环境风险,包括将无担保的加密资产用于投机目的。它还应该抵制为加密货币提供国家支持的呼吁,这本质上会使加密货币风险社会化。相反,公共部门应集中精力为可靠的数字结算资产的开发做出贡献,包括通过在央行数字货币方面的工作。[2023/6/25 21:58:12]

特斯拉跌幅扩大至超10%:金色财经报道,特斯拉跌幅扩大至超10%,刷新1月下旬以来低点至163美元下方,拖累美股大盘指数保持跌势。马斯克此前表示,特斯拉将继续追求销量,而不是利润率。[2023/4/21 14:17:16]

3389爆破工具NLBrute1.2

S扫描器

狗狗币开发工具集libdogecoin发布更新,支持二维码生成、BIP39等标准:3月25日消息,根据开发者Michi Lumin 3月23日的公告,狗狗币基金会(Dogecoin Foundation)发布了libdogecoin工具集的重大更新。Lumin称这是一次“大更新”,包括几个新功能以及各种修复和改进。这次更新包括对BIP39的支持,这是一种被比特币钱包和其他钱包广泛用于创建和恢复地址的标准。这次更新还增加了对相关地址标准的全面支持,如BIP32、BIP44和SLIP44。

这意味着用户有更多与种子短语相关的选项,种子短语是一个常用单词列表,可以作为记忆工具。Lumin表示,此次更新将支持多种语言。此外,该工具集能够生成二维码,这通常用于移动钱包交易。(Crypto Slate)[2023/3/25 13:26:16]

漏洞利用模块

ApacheStruts2远程命令执行漏洞利用

NFT市场SeaShrine已在Aptos主网上线:金色财经报道,NFT市场SeaShrine已在公链Aptos主网上线。[2023/1/8 11:00:18]

门罗币挖矿模块

对服务器入侵成功后,则下发挖矿挖矿模块2020.exe

矿池:xmr.f2pool.com:13531

跨链DeFi游戏EvoVerses获得Harmony资助:据官方消息,跨链DeFi游戏EvoVerses宣布获得Harmony资助,将基于Harmony ONE构建其Pokemon风格3D游戏。[2022/5/21 3:32:49]

钱包:

8aZSQhyDBCZokwmVd5HG5Gp7UrAeLVuVmZbKcs4rTZTx1UXGECxbePXha3qncffYYhJjG5FRGxM1scV9dbN62VCGiPdtQ

目前已经挖到90个XMR,市值约35886人民币

端口转发工具ok.exe被ramnit蠕虫病感染

黑客服务器上的端口转发工具已经被ramnit感染,入口点被修改在最后一个.text节

RamnitC2:82.112.184.197:447,45.55.36.236:447,8.7.198.46:80

去掉ramnit感染代码后,实际上是一个端口转发工具

所以被入侵的windows服务器也同样会被感染Ramnit蠕虫病。Ramnit蠕虫病是影响Windows系统的计算机蠕虫。Ramnit感染可移动媒体,如USB驱动器,也隐藏在主引导记录中。主要感染.exe、.dll、.htm和.html扩展名的文件。2015年高峰时期,Ramnit曾经感染过超过300万台电脑。

三、同源分析

根据钱包地址进行关联,可以关联到F5研究团队在去年3月公布的“CryptoSink”行动中批量的钱包一样,当时已经挖掘到70个门罗币,可见这次挖矿攻击活动仍然跟“CryptoSink”关系较大。

四、安全建议

针对该黑产团伙的特点,我们建议企业用户参考以下方法解除风险:

1、建议修改远程桌面默认端口,或限制允许访问的IP地址;

2、升级ApacheStruts2至最新版,以修复安全漏洞。受影响版本Struts2.3.5–Struts2.3.31,Struts2.5–Struts2.5.10;

3、修改sqlserver密码,不要使用弱密码,弱密码非常容易被爆破入侵。SQL服务器被攻陷还可能导致严重的信息泄露风险。

IOCs

矿池:xmr.f2pool.com:13531钱包:48aZSQhyDBCZokwmVd5HG5Gp7UrAeLVuVmZbKcs4rTZTx1UXGECxbePXha3qncffYYhJjG5FRGxM1scV9dbN62VCGiPdtQ

URLhxxp://183.63.127.227:808/

MD5fabd73f8bf2bc803703778457c06893681c965ac62471ab62e85ca441d0031e6

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

水星链

[0:15ms0-1:56ms