黑產團伙利用Apache Struts 2漏洞及SQL爆破控制服務器挖礦_MNI

來源：騰訊御見威脅情報中心

一、概述

騰訊安全御見威脅情報中心監測到團伙利用ApacheStruts2遠程命令執行漏洞攻擊windows服務器，從團伙使用的文件列表來看，主要通過爆破或漏洞利用進行攻擊，且針對windows服務器，已控制服務器270臺左右，被下發挖礦木馬的服務器有44臺，該團伙挖取門羅幣已賺得3.5萬元。

二、詳細分析

查看團伙HFS服務器文件列表，可以看到多個掃描爆破工具、漏洞利用工具、密碼抓取工具、遠程控制工具及端口轉發工具。

爆破掃描模塊

黑客使用1433掃描工具，配合密碼表對sqlserver服務器進行爆破：

某鯨魚地址4小時前以51萬枚USDC購買3338億枚PEPE:7月21日消息，據Spot on Chain監測，0x31f開頭鯨魚地址在約4小時前以0.0000001528美元的均價將51萬枚USDC兌換為3338億枚PEPE。該巨鯨在這個周期中賺了2.2萬美元；目前持有4.1萬億枚PEPE（616萬美元）；在上一次PEPE交易中損失了74萬美元；從0x9e0開頭地址收到USDC，曾經通過交易PEPE獲得1453萬美元。[2023/7/21 15:50:31]

3389爆破工具NLBrute1.2

埃森哲計劃在三年內針對數據和 AI 業務投資 30 億美元:金色財經報道，埃森哲表示，計劃在三年內投資 30 億美元，專攻數據和人工智能（AI）業務。這家總部位于愛爾蘭都柏林的專業服務公司表示，其數據和 AI 業務將通過招聘、收購和培訓相結合的方式，將其 AI 人才增加一倍達到 8 萬人。該公司還表示，正在推出一個名為 AI Navigator for Enterprise 的新平臺，該平臺將幫助客戶找出如何在他們的業務中使用 AI。[2023/6/14 21:35:04]

S掃描器

漏洞利用模塊

ApacheStruts2遠程命令執行漏洞利用

美SEC以非法銷售加密貨幣證券的罪名起訴孫宇晨和三家關聯公司:金色財經報道，據美國法庭文件顯示，美國證券交易委員會正式起訴波場創始人、Huobi全球顧問委員會成員Justin Sun，指控其涉嫌非法銷售證券、欺詐和操控市場。據悉，SEC在新聞稿中表示，其正在起訴Justin Sun、Tron基金會、BitTorrent基金會和BitTorrent（現稱為Rainberry）出售tronix（TRX）和BitTorrent（BTT）Token，將其描述為未注冊的加密資產證券，并進一步指控Justin Sun欺詐性地操縱TRX的二級市場。[2023/3/23 13:20:42]

門羅幣挖礦模塊

Anchorage推出加密貨幣集成平臺:金色財經報道，加密平臺Anchorage Digital推出了一項新的基礎設施產品，以將企業與加密貨幣聯系起來。該服務將允許金融科技公司通過參與市場、導航加密支付網關和推出金融產品，使用API向加密行業之外擴展。采用新產品的公司包括AngelList和Series Financial。[2022/10/24 16:37:11]

對服務器入侵成功后，則下發挖礦挖礦模塊2020.exe

礦池：xmr.f2pool.com:13531

錢包：

8aZSQhyDBCZokwmVd5HG5Gp7UrAeLVuVmZbKcs4rTZTx1UXGECxbePXha3qncffYYhJjG5FRGxM1scV9dbN62VCGiPdtQ

目前已經挖到90個XMR，市值約35886人民幣

端口轉發工具ok.exe被ramnit蠕蟲病感染

黑客服務器上的端口轉發工具已經被ramnit感染，入口點被修改在最后一個.text節

RamnitC2:82.112.184.197:447，45.55.36.236:447，8.7.198.46:80

去掉ramnit感染代碼后，實際上是一個端口轉發工具

所以被入侵的windows服務器也同樣會被感染Ramnit蠕蟲病。Ramnit蠕蟲病是影響Windows系統的計算機蠕蟲。Ramnit感染可移動媒體，如USB驅動器，也隱藏在主引導記錄中。主要感染.exe、.dll、.htm和.html擴展名的文件。2015年高峰時期，Ramnit曾經感染過超過300萬臺電腦。

三、同源分析

根據錢包地址進行關聯，可以關聯到F5研究團隊在去年3月公布的“CryptoSink”行動中批量的錢包一樣，當時已經挖掘到70個門羅幣，可見這次挖礦攻擊活動仍然跟“CryptoSink”關系較大。

四、安全建議

針對該黑產團伙的特點，我們建議企業用戶參考以下方法解除風險：

1、建議修改遠程桌面默認端口，或限制允許訪問的IP地址；

2、升級ApacheStruts2至最新版，以修復安全漏洞。受影響版本Struts2.3.5–Struts2.3.31，Struts2.5–Struts2.5.10；

3、修改sqlserver密碼，不要使用弱密碼，弱密碼非常容易被爆破入侵。SQL服務器被攻陷還可能導致嚴重的信息泄露風險。

IOCs

礦池：xmr.f2pool.com:13531錢包：48aZSQhyDBCZokwmVd5HG5Gp7UrAeLVuVmZbKcs4rTZTx1UXGECxbePXha3qncffYYhJjG5FRGxM1scV9dbN62VCGiPdtQ

URLhxxp://183.63.127.227:808/

MD5fabd73f8bf2bc803703778457c06893681c965ac62471ab62e85ca441d0031e6

Tags：MNIRAMAMNUTSOMNISRSK Infrastructure FrameworkAMN幣UTS幣

MEXC