BTC/HKD+0.46%
ETH/HKD+4.55%
LTC/HKD+1.1%
DOT/HKD+1.34%
ADA/HKD+1.72%
SOL/HKD+5.4%
XRP/HKD+0.26%
DOGE/US+1.37%來源:騰訊御見威脅情報中心
一、概述
騰訊安全御見威脅情報中心監測到團伙利用ApacheStruts2遠程命令執行漏洞攻擊windows服務器,從團伙使用的文件列表來看,主要通過爆破或漏洞利用進行攻擊,且針對windows服務器,已控制服務器270臺左右,被下發挖礦木馬的服務器有44臺,該團伙挖取門羅幣已賺得3.5萬元。
二、詳細分析
查看團伙HFS服務器文件列表,可以看到多個掃描爆破工具、漏洞利用工具、密碼抓取工具、遠程控制工具及端口轉發工具。
爆破掃描模塊
黑客使用1433掃描工具,配合密碼表對sqlserver服務器進行爆破:
SwellNetwork已上線Voyage空投活動,并將分配5000萬枚SWELL:6月1日消息,以太坊質押協議 Swell Network 已上線 Voyage 空投計劃,并將分配 5000 萬枚 SWELL(5%),用戶現在可通過抵押 swETH 和提供流動性來收集珍珠(pearls),然后在今年晚些時候的代幣生成活動(Token Generation Event,TGE)上兌換成 SWELL。[2023/6/1 11:52:08]
3389爆破工具NLBrute1.2
Matrix Partners披露已于六月完成8億美元募資,將謹慎投資Web3等領域:10月11日消息,風投公司Matrix Partners已于六月完成了8億美元募資。該風投合伙人Antonio Rodriguez透露,他們將謹慎投資Web3和去中心化互聯網領域。
Antonio Rodriguez表示,Matrix Partners雖然不會將一般資金投入Web3市場,但其投資組合已經涵蓋相關領域。其個人看法為,雖然可信分布式數據庫對于B2B和消費者領域的許多應用來說都非常有趣,然而過去兩年的投機熱潮大概率已經結束,我們也希望看到更多實用性,所以Matrix Partners不會成倍地在這一領域加大投資。(Tech Crunch)[2022/10/11 10:30:34]
S掃描器
比特幣挖礦運營商 SAI.TECH 終止在哈薩克斯坦的剩余擴建項目:8月4日消息,節能型比特幣挖礦運營商 SAI.TECH Global Corporation 在提交給美國證券交易委員會(SEC)的一份聲明表示,由于電力合作伙伴和托管客戶對公司運營穩定性和成本不確定性的擔憂,公司終止了其在哈薩克斯坦的剩余擴建項目。去年,SAI.TECH 通過特殊目的收購公司在納斯達克完成上市。[2022/8/4 12:02:36]
漏洞利用模塊
ApacheStruts2遠程命令執行漏洞利用
DCG挖礦與質押子公司Foundry將推出礦機供應鏈管理服務:金色財經消息,Digital Currency Group(DCG)數字資產挖礦與質押子公司 Foundry 將啟動一項供應鏈管理服務 Foundry Logistics,旨在為其客戶縮短交付礦機的時間和降低交付成本。(CoinDesk)[2022/7/28 2:44:03]
門羅幣挖礦模塊
對服務器入侵成功后,則下發挖礦挖礦模塊2020.exe
礦池:xmr.f2pool.com:13531
錢包:
8aZSQhyDBCZokwmVd5HG5Gp7UrAeLVuVmZbKcs4rTZTx1UXGECxbePXha3qncffYYhJjG5FRGxM1scV9dbN62VCGiPdtQ
目前已經挖到90個XMR,市值約35886人民幣
端口轉發工具ok.exe被ramnit蠕蟲病感染
黑客服務器上的端口轉發工具已經被ramnit感染,入口點被修改在最后一個.text節
RamnitC2:82.112.184.197:447,45.55.36.236:447,8.7.198.46:80
去掉ramnit感染代碼后,實際上是一個端口轉發工具
所以被入侵的windows服務器也同樣會被感染Ramnit蠕蟲病。Ramnit蠕蟲病是影響Windows系統的計算機蠕蟲。Ramnit感染可移動媒體,如USB驅動器,也隱藏在主引導記錄中。主要感染.exe、.dll、.htm和.html擴展名的文件。2015年高峰時期,Ramnit曾經感染過超過300萬臺電腦。
三、同源分析
根據錢包地址進行關聯,可以關聯到F5研究團隊在去年3月公布的“CryptoSink”行動中批量的錢包一樣,當時已經挖掘到70個門羅幣,可見這次挖礦攻擊活動仍然跟“CryptoSink”關系較大。
四、安全建議
針對該黑產團伙的特點,我們建議企業用戶參考以下方法解除風險:
1、建議修改遠程桌面默認端口,或限制允許訪問的IP地址;
2、升級ApacheStruts2至最新版,以修復安全漏洞。受影響版本Struts2.3.5–Struts2.3.31,Struts2.5–Struts2.5.10;
3、修改sqlserver密碼,不要使用弱密碼,弱密碼非常容易被爆破入侵。SQL服務器被攻陷還可能導致嚴重的信息泄露風險。
IOCs
礦池:xmr.f2pool.com:13531錢包:48aZSQhyDBCZokwmVd5HG5Gp7UrAeLVuVmZbKcs4rTZTx1UXGECxbePXha3qncffYYhJjG5FRGxM1scV9dbN62VCGiPdtQ
URLhxxp://183.63.127.227:808/
MD5fabd73f8bf2bc803703778457c06893681c965ac62471ab62e85ca441d0031e6
伊朗二號實權人物卡西姆·蘇萊馬尼少將遇襲身亡,伊朗方面宣稱將“強硬報復”,戰爭似乎一觸即發。 專題:伊朗二號實權人物遇襲身亡,BTC應聲大漲.
1900/1/1 0:00:00PA周刊第九十期1.6-1.12文|周文怡編輯|畢彤彤?出品|?PANews概述:北京金融局局長稱本周內將公布監管沙箱第一批入箱項目.
1900/1/1 0:00:00美國證券交易委員會兩周前發布提案擬擴大成為合格投資者的范圍,不過業內人士對此謹慎樂觀。 根據來自SEC的信息,合格投資者的定義為凈資產超過100萬美元的個人、資產超過500萬美元的組織、符合某些.
1900/1/1 0:00:00作者:舒國柱。本文節選自《第三種貨幣形態》。編者注:原標題為《可授信的閃電網絡》閃電網絡中需要凍結比特幣,導致兩個問題:支付成本高,技術改進慢.
1900/1/1 0:00:00作者:陸遙遠 來源:老陸的區塊鏈筆記 前言:2019就快要結束了,今年比較有名的區塊鏈游戲大多是TCG類(GodsUnchainedCards),這些游戲比之前的游戲吸引了更多關注且更加精美.
1900/1/1 0:00:00來源:小蔥區塊鏈 雖然2020年剛剛過去兩周時間,但是整個加密貨幣市場卻已經感受到了“春天”的氣息.
1900/1/1 0:00:00
比特幣交易所
