来源:腾讯御见威胁情报中心
一、概述
腾讯安全御见威胁情报中心监测到团伙利用ApacheStruts2远程命令执行漏洞攻击windows服务器,从团伙使用的文件列表来看,主要通过爆破或漏洞利用进行攻击,且针对windows服务器,已控制服务器270台左右,被下发挖矿木马的服务器有44台,该团伙挖取门罗币已赚得3.5万元。
二、详细分析
查看团伙HFS服务器文件列表,可以看到多个扫描爆破工具、漏洞利用工具、密码抓取工具、远程控制工具及端口转发工具。
爆破扫描模块
黑客使用1433扫描工具,配合密码表对sqlserver服务器进行爆破:
数据:Paxos金库销毁5004万个BUSD:6月9日消息,Whale Alert数据显示,Paxos金库销毁了50,040,800个BUSD。另外根据CoinGecko数据,BUSD市值跌至约48.6亿美元;历史数据显示,BUSD市值在约三个月时间内已缩水50%。[2023/6/9 21:26:54]
3389爆破工具NLBrute1.2
信标链ETH2合约地址质押数突破1673万枚ETH:2月20日消息,链上数据监测,当前信标链ETH2合约地址质押存款超16,737,927枚ETH,近一周增长约135,008 ETH。[2023/2/20 12:17:29]
S扫描器
漏洞利用模块
ApacheStruts2远程命令执行漏洞利用
欧洲央行董事:作为央行官员不允许持有比特币:金色财经报道,欧洲央行董事会成员表示,作为央行官员,我不允许持有比特币。[2023/2/11 12:00:20]
门罗币挖矿模块
对服务器入侵成功后,则下发挖矿挖矿模块2020.exe
矿池:xmr.f2pool.com:13531
安全团队:NFT系列Brainless Spikes的Discord服务器被攻击:金色财经报道,据CertiK监测显示,NFT系列Brainless Spikes的Discord服务器已被攻击,提醒用户在修复之前不要点击任何发布的链接。[2022/12/1 21:14:59]
钱包:
8aZSQhyDBCZokwmVd5HG5Gp7UrAeLVuVmZbKcs4rTZTx1UXGECxbePXha3qncffYYhJjG5FRGxM1scV9dbN62VCGiPdtQ
目前已经挖到90个XMR,市值约35886人民币
BTC突破21500美元:BTC突破21500美元,现报21501.0美元,日内涨幅达到1.32%,行情波动较大,请做好风险控制。[2022/8/22 12:39:24]
端口转发工具ok.exe被ramnit蠕虫病感染
黑客服务器上的端口转发工具已经被ramnit感染,入口点被修改在最后一个.text节
RamnitC2:82.112.184.197:447,45.55.36.236:447,8.7.198.46:80
去掉ramnit感染代码后,实际上是一个端口转发工具
所以被入侵的windows服务器也同样会被感染Ramnit蠕虫病。Ramnit蠕虫病是影响Windows系统的计算机蠕虫。Ramnit感染可移动媒体,如USB驱动器,也隐藏在主引导记录中。主要感染.exe、.dll、.htm和.html扩展名的文件。2015年高峰时期,Ramnit曾经感染过超过300万台电脑。
三、同源分析
根据钱包地址进行关联,可以关联到F5研究团队在去年3月公布的“CryptoSink”行动中批量的钱包一样,当时已经挖掘到70个门罗币,可见这次挖矿攻击活动仍然跟“CryptoSink”关系较大。
四、安全建议
针对该黑产团伙的特点,我们建议企业用户参考以下方法解除风险:
1、建议修改远程桌面默认端口,或限制允许访问的IP地址;
2、升级ApacheStruts2至最新版,以修复安全漏洞。受影响版本Struts2.3.5–Struts2.3.31,Struts2.5–Struts2.5.10;
3、修改sqlserver密码,不要使用弱密码,弱密码非常容易被爆破入侵。SQL服务器被攻陷还可能导致严重的信息泄露风险。
IOCs
矿池:xmr.f2pool.com:13531钱包:48aZSQhyDBCZokwmVd5HG5Gp7UrAeLVuVmZbKcs4rTZTx1UXGECxbePXha3qncffYYhJjG5FRGxM1scV9dbN62VCGiPdtQ
URLhxxp://183.63.127.227:808/
MD5fabd73f8bf2bc803703778457c06893681c965ac62471ab62e85ca441d0031e6
2019年,零壹金融科技投融资指数在6月达到全年最高值180,3月为次高点179,此后在160上下波动,12月最新指数为151.
1900/1/1 0:00:00比特币最近表现出优势,在短短两周内从6,900美元飙升至目前的8,700美元。不过上涨的并不只有比特币,隐私币和比特币的各类分叉币同样如此,甚至青出于蓝,如BSV在过去一个月涨幅最高超过350%.
1900/1/1 0:00:00来源:法治周末作者:王家国在数字币的背后,除了加密技术作为支撑系统之外,还有应用生态系统或社会问题,其中包括发行权和接链权等权限问题,比如这些权力是否开放,或在什么程度上开放等.
1900/1/1 0:00:00来源:上游新闻北京时间1月15日消息,美东时间周二,美股三大股指冲高回落,收盘涨跌不一,中概股普跌,其中,上市一个月来股价不断摸高、有着区块链第一股之称的金融壹账通大跌20.41%.
1900/1/1 0:00:00来源?:伊特瞅见出品:区块链大本营区块链的知识为啥看了这么多还是有疑惑?一是当下已然娱乐时代,惯常用宣传代替理论。二是大家在认知中习惯于因果的套路.
1900/1/1 0:00:00文|嚯嚯编辑|文刀2020年是加密资产原生网络“减产”的集中爆发年。3月、4月,ETC、BCH和BSV将进入减半周期;5月,备受期待的币王BTC减产,DASH的减产也在这个月;10月,减产会延续.
1900/1/1 0:00:00
火星链