火星链 火星链
Ctrl+D收藏火星链

MNI:黑产团伙利用Apache Struts 2漏洞及SQL爆破控制服务器挖矿

作者:

时间:1900/1/1 0:00:00

来源:腾讯御见威胁情报中心

一、概述

腾讯安全御见威胁情报中心监测到团伙利用ApacheStruts2远程命令执行漏洞攻击windows服务器,从团伙使用的文件列表来看,主要通过爆破或漏洞利用进行攻击,且针对windows服务器,已控制服务器270台左右,被下发挖矿木马的服务器有44台,该团伙挖取门罗币已赚得3.5万元。

二、详细分析

查看团伙HFS服务器文件列表,可以看到多个扫描爆破工具、漏洞利用工具、密码抓取工具、远程控制工具及端口转发工具。

爆破扫描模块

黑客使用1433扫描工具,配合密码表对sqlserver服务器进行爆破:

数据:Paxos金库销毁5004万个BUSD:6月9日消息,Whale Alert数据显示,Paxos金库销毁了50,040,800个BUSD。另外根据CoinGecko数据,BUSD市值跌至约48.6亿美元;历史数据显示,BUSD市值在约三个月时间内已缩水50%。[2023/6/9 21:26:54]

3389爆破工具NLBrute1.2

信标链ETH2合约地址质押数突破1673万枚ETH:2月20日消息,链上数据监测,当前信标链ETH2合约地址质押存款超16,737,927枚ETH,近一周增长约135,008 ETH。[2023/2/20 12:17:29]

S扫描器

漏洞利用模块

ApacheStruts2远程命令执行漏洞利用

欧洲央行董事:作为央行官员不允许持有比特币:金色财经报道,欧洲央行董事会成员表示,作为央行官员,我不允许持有比特币。[2023/2/11 12:00:20]

门罗币挖矿模块

对服务器入侵成功后,则下发挖矿挖矿模块2020.exe

矿池:xmr.f2pool.com:13531

安全团队:NFT系列Brainless Spikes的Discord服务器被攻击:金色财经报道,据CertiK监测显示,NFT系列Brainless Spikes的Discord服务器已被攻击,提醒用户在修复之前不要点击任何发布的链接。[2022/12/1 21:14:59]

钱包:

8aZSQhyDBCZokwmVd5HG5Gp7UrAeLVuVmZbKcs4rTZTx1UXGECxbePXha3qncffYYhJjG5FRGxM1scV9dbN62VCGiPdtQ

目前已经挖到90个XMR,市值约35886人民币

BTC突破21500美元:BTC突破21500美元,现报21501.0美元,日内涨幅达到1.32%,行情波动较大,请做好风险控制。[2022/8/22 12:39:24]

端口转发工具ok.exe被ramnit蠕虫病感染

黑客服务器上的端口转发工具已经被ramnit感染,入口点被修改在最后一个.text节

RamnitC2:82.112.184.197:447,45.55.36.236:447,8.7.198.46:80

去掉ramnit感染代码后,实际上是一个端口转发工具

所以被入侵的windows服务器也同样会被感染Ramnit蠕虫病。Ramnit蠕虫病是影响Windows系统的计算机蠕虫。Ramnit感染可移动媒体,如USB驱动器,也隐藏在主引导记录中。主要感染.exe、.dll、.htm和.html扩展名的文件。2015年高峰时期,Ramnit曾经感染过超过300万台电脑。

三、同源分析

根据钱包地址进行关联,可以关联到F5研究团队在去年3月公布的“CryptoSink”行动中批量的钱包一样,当时已经挖掘到70个门罗币,可见这次挖矿攻击活动仍然跟“CryptoSink”关系较大。

四、安全建议

针对该黑产团伙的特点,我们建议企业用户参考以下方法解除风险:

1、建议修改远程桌面默认端口,或限制允许访问的IP地址;

2、升级ApacheStruts2至最新版,以修复安全漏洞。受影响版本Struts2.3.5–Struts2.3.31,Struts2.5–Struts2.5.10;

3、修改sqlserver密码,不要使用弱密码,弱密码非常容易被爆破入侵。SQL服务器被攻陷还可能导致严重的信息泄露风险。

IOCs

矿池:xmr.f2pool.com:13531钱包:48aZSQhyDBCZokwmVd5HG5Gp7UrAeLVuVmZbKcs4rTZTx1UXGECxbePXha3qncffYYhJjG5FRGxM1scV9dbN62VCGiPdtQ

URLhxxp://183.63.127.227:808/

MD5fabd73f8bf2bc803703778457c06893681c965ac62471ab62e85ca441d0031e6

标签:MNIRAMAMNTRUOMNIA币RAMA币DIAMND价格trustwallet官网

以太坊价格今日行情热门资讯
比特币:2019年全球金融科技融资报告:融资额超2619亿 区块链融资数量独占鳌头

2019年,零壹金融科技投融资指数在6月达到全年最高值180,3月为次高点179,此后在160上下波动,12月最新指数为151.

1900/1/1 0:00:00
TOSHI:大涨之后必回调?这波行情能够持续多久

比特币最近表现出优势,在短短两周内从6,900美元飙升至目前的8,700美元。不过上涨的并不只有比特币,隐私币和比特币的各类分叉币同样如此,甚至青出于蓝,如BSV在过去一个月涨幅最高超过350%.

1900/1/1 0:00:00
区块链:《法治周末》:数字币要想取代纸币并成为流通尺度,必须解决至少三个基本问题

来源:法治周末作者:王家国在数字币的背后,除了加密技术作为支撑系统之外,还有应用生态系统或社会问题,其中包括发行权和接链权等权限问题,比如这些权力是否开放,或在什么程度上开放等.

1900/1/1 0:00:00
ENT:“区块链第一股”金融壹账通突遭大跌超20%

来源:上游新闻北京时间1月15日消息,美东时间周二,美股三大股指冲高回落,收盘涨跌不一,中概股普跌,其中,上市一个月来股价不断摸高、有着区块链第一股之称的金融壹账通大跌20.41%.

1900/1/1 0:00:00
HIV:用比特币的中间层知识完善区块链认知

来源?:伊特瞅见出品:区块链大本营区块链的知识为啥看了这么多还是有疑惑?一是当下已然娱乐时代,惯常用宣传代替理论。二是大家在认知中习惯于因果的套路.

1900/1/1 0:00:00
BTC:2020“减产”年,惊喜还是惊吓?

文|嚯嚯编辑|文刀2020年是加密资产原生网络“减产”的集中爆发年。3月、4月,ETC、BCH和BSV将进入减半周期;5月,备受期待的币王BTC减产,DASH的减产也在这个月;10月,减产会延续.

1900/1/1 0:00:00