黑產團伙利用Apache Struts 2漏洞及SQL爆破控制服務器挖礦_AMN:DIAMND價格

來源：騰訊御見威脅情報中心

一、概述

騰訊安全御見威脅情報中心監測到團伙利用ApacheStruts2遠程命令執行漏洞攻擊windows服務器，從團伙使用的文件列表來看，主要通過爆破或漏洞利用進行攻擊，且針對windows服務器，已控制服務器270臺左右，被下發挖礦木馬的服務器有44臺，該團伙挖取門羅幣已賺得3.5萬元。

二、詳細分析

查看團伙HFS服務器文件列表，可以看到多個掃描爆破工具、漏洞利用工具、密碼抓取工具、遠程控制工具及端口轉發工具。

爆破掃描模塊

黑客使用1433掃描工具，配合密碼表對sqlserver服務器進行爆破：

美國法院命令SEC在10天內對Coinbase的指控做出回應:金色財經報道，美國證券交易委員會(SEC)已被一家美國法院勒令對Coinbase關于如何將證券法適用于數字資產的投訴作出回應。上訴法院在周三的一份文件中說，SEC必須在10天內提交答復，然后Coinbase可以在此后7天內提交回應。

Coinbase上周認為，美國證券交易委員會為在加密貨幣領域經營的美國公司提供的監管指導不足，稱該委員會必須 \"至少必須規定如何將那些不合適和不恰當的要求適應于數字資產\"。[2023/5/4 14:43:13]

3389爆破工具NLBrute1.2

礦企Northern Data于2022年產出2798枚BTC，年收入超1.90億歐元:1月11日消息，礦企Northern Data發布的數據顯示，在2022年全年，該公司共產出2798枚BTC，同比增長了315%。算力達到3.6 EH/s。以23,849歐元的平均價格售出了3005枚BTC，創造了7,170萬歐元的現金收入。調整后EBITDA為4000萬～5000萬歐元，年收入為1.90億～1.94億歐元。（eqs）[2023/1/11 11:05:58]

S掃描器

漏洞利用模塊

ApacheStruts2遠程命令執行漏洞利用

通過Avalanche Bridge跨鏈至Avalanche的比特幣數量已突破4000枚:11月3日消息，據Snowtrace數據顯示，在Avalanche Bridge新增對比特幣的支持后，通過Avalanche Bridge跨鏈至Avalanche的比特幣數量已突破4000枚，當前約為4081.19枚，價值約8366.46萬美元。[2022/11/3 12:13:13]

門羅幣挖礦模塊

對服務器入侵成功后，則下發挖礦挖礦模塊2020.exe

慢霧創始人通過其推特向跨鏈DID .bit成功申領slowmist.bit:9月14日消息，慢霧創始人通過其推特向跨鏈 DID .bit 申領了保留賬戶 slowmist.bit。據悉，.bit 通過引用第三方數據源保留的賬戶，在規定時間內成功發起申領就可以按注冊費獲得該賬戶。

此前報道，8月15日，跨鏈DID .bit宣布完成1300萬美元A輪融資，CMB International領投，HashKey Capita、QingSong Fund、GSR Ventures、GGV Capital、SNZ 與 SevenX 參投。[2022/9/14 13:29:33]

礦池：xmr.f2pool.com:13531

錢包：

8aZSQhyDBCZokwmVd5HG5Gp7UrAeLVuVmZbKcs4rTZTx1UXGECxbePXha3qncffYYhJjG5FRGxM1scV9dbN62VCGiPdtQ

目前已經挖到90個XMR，市值約35886人民幣

端口轉發工具ok.exe被ramnit蠕蟲病感染

黑客服務器上的端口轉發工具已經被ramnit感染，入口點被修改在最后一個.text節

RamnitC2:82.112.184.197:447，45.55.36.236:447，8.7.198.46:80

去掉ramnit感染代碼后，實際上是一個端口轉發工具

所以被入侵的windows服務器也同樣會被感染Ramnit蠕蟲病。Ramnit蠕蟲病是影響Windows系統的計算機蠕蟲。Ramnit感染可移動媒體，如USB驅動器，也隱藏在主引導記錄中。主要感染.exe、.dll、.htm和.html擴展名的文件。2015年高峰時期，Ramnit曾經感染過超過300萬臺電腦。

三、同源分析

根據錢包地址進行關聯，可以關聯到F5研究團隊在去年3月公布的“CryptoSink”行動中批量的錢包一樣，當時已經挖掘到70個門羅幣，可見這次挖礦攻擊活動仍然跟“CryptoSink”關系較大。

四、安全建議

針對該黑產團伙的特點，我們建議企業用戶參考以下方法解除風險：

1、建議修改遠程桌面默認端口，或限制允許訪問的IP地址；

2、升級ApacheStruts2至最新版，以修復安全漏洞。受影響版本Struts2.3.5–Struts2.3.31，Struts2.5–Struts2.5.10；

3、修改sqlserver密碼，不要使用弱密碼，弱密碼非常容易被爆破入侵。SQL服務器被攻陷還可能導致嚴重的信息泄露風險。

IOCs

礦池：xmr.f2pool.com:13531錢包：48aZSQhyDBCZokwmVd5HG5Gp7UrAeLVuVmZbKcs4rTZTx1UXGECxbePXha3qncffYYhJjG5FRGxM1scV9dbN62VCGiPdtQ

URLhxxp://183.63.127.227:808/

MD5fabd73f8bf2bc803703778457c06893681c965ac62471ab62e85ca441d0031e6

Tags：RAMCHEMNIAMNSHIBARAMEN價格coincheck交易平臺網址OMNIADIAMND價格

SHIB最新價格