来源:腾讯御见威胁情报中心
一、概述
腾讯安全御见威胁情报中心监测到团伙利用ApacheStruts2远程命令执行漏洞攻击windows服务器,从团伙使用的文件列表来看,主要通过爆破或漏洞利用进行攻击,且针对windows服务器,已控制服务器270台左右,被下发挖矿木马的服务器有44台,该团伙挖取门罗币已赚得3.5万元。
二、详细分析
查看团伙HFS服务器文件列表,可以看到多个扫描爆破工具、漏洞利用工具、密码抓取工具、远程控制工具及端口转发工具。
爆破扫描模块
黑客使用1433扫描工具,配合密码表对sqlserver服务器进行爆破:
数据:Arbitrum活跃账户数突破800万:金色财经报道,据Dune Analytics最新数据显示,以太坊Layer 2扩容解决方案Arbitrum活跃账户数已突破800万,本文撰写时达到800.5万个,当前已创建总账户数为941.7万个,总交易量为3.0588亿笔,链上合约创建总量为2,740,159份。历史数据显示,Arbitrum活跃账户于6月18日突破700万,这意味着该指标值在过去一个月增长约15%。[2023/7/16 10:58:11]
3389爆破工具NLBrute1.2
V神:我对VR的担忧类似于一些反加密货币的人对加密货币的担忧:金色财经报道,以太坊创始人Vitalik Buterin在社交媒体上称,我对VR的担忧类似于一些反加密货币的人对加密货币的担忧:感觉人们 \"爱上了它的想法\",其方式远远超过了实际应用。
就像加密货币一样,我确实认为重要的应用是存在的。但 \"为了VR而VR “是行不通的。[2022/10/28 11:53:04]
S扫描器
漏洞利用模块
ApacheStruts2远程命令执行漏洞利用
广州南沙在全国首推“元宇宙”赋能智慧新政务:金色财经报道,广州南沙政务服务中心基于多传感器融合的高精度三维重建技术,对线下政务大厅进行实体1:1模型制作与引擎渲染,搭建具有极高还原度的实景三维仿真场景,同时搭载顶尖的三维感知交互技术和丰富多彩的数字化内容,旨在打造全国第一个可实现全套感知交互服务的元宇宙政务平台,以数字化政务大厅为载体助推政务体系多元化发展、跨时代变革。(广州日报)[2022/10/14 14:27:50]
门罗币挖矿模块
对服务器入侵成功后,则下发挖矿挖矿模块2020.exe
分析师:完成合并的以太坊可能更容易受到政府审查:9月16日消息,Merkle Science首席研究员、前FBI分析师Coby Morgan表示,以太坊过渡至PoS可能会使其更容易受到政府干预和审查。以太坊验证者需要质押32 ETH才符合资格,以太坊可能会变得更加中心化。成为验证者的高昂成本可能导致验证节点整合到Binance、Coinbase和Kraken等更大的加密公司。
据此前报道,以太坊合并后超40%区块由Coinbase与Lido添加。(Cointelegraph)[2022/9/16 7:01:11]
矿池:xmr.f2pool.com:13531
钱包:
8aZSQhyDBCZokwmVd5HG5Gp7UrAeLVuVmZbKcs4rTZTx1UXGECxbePXha3qncffYYhJjG5FRGxM1scV9dbN62VCGiPdtQ
重庆市国家区块链创新应用综合性试点(渝中区)建设启动:6月24日,重庆市国家区块链创新应用综合性试点(渝中区)建设启动会在渝中区举行,此次试点将从技术平台、应用服务、产业生态、安全监管4个重点方向,重点打造28个区块链应用场景,突出技术生态、产业生态、标准体系、人才体系构建,促进区块链在政用、商用、民用领域的应用,挖掘释放数据价值,推动全市数字经济高质量发展。[2022/6/26 1:32:08]
目前已经挖到90个XMR,市值约35886人民币
端口转发工具ok.exe被ramnit蠕虫病感染
黑客服务器上的端口转发工具已经被ramnit感染,入口点被修改在最后一个.text节
RamnitC2:82.112.184.197:447,45.55.36.236:447,8.7.198.46:80
去掉ramnit感染代码后,实际上是一个端口转发工具
所以被入侵的windows服务器也同样会被感染Ramnit蠕虫病。Ramnit蠕虫病是影响Windows系统的计算机蠕虫。Ramnit感染可移动媒体,如USB驱动器,也隐藏在主引导记录中。主要感染.exe、.dll、.htm和.html扩展名的文件。2015年高峰时期,Ramnit曾经感染过超过300万台电脑。
三、同源分析
根据钱包地址进行关联,可以关联到F5研究团队在去年3月公布的“CryptoSink”行动中批量的钱包一样,当时已经挖掘到70个门罗币,可见这次挖矿攻击活动仍然跟“CryptoSink”关系较大。
四、安全建议
针对该黑产团伙的特点,我们建议企业用户参考以下方法解除风险:
1、建议修改远程桌面默认端口,或限制允许访问的IP地址;
2、升级ApacheStruts2至最新版,以修复安全漏洞。受影响版本Struts2.3.5–Struts2.3.31,Struts2.5–Struts2.5.10;
3、修改sqlserver密码,不要使用弱密码,弱密码非常容易被爆破入侵。SQL服务器被攻陷还可能导致严重的信息泄露风险。
IOCs
矿池:xmr.f2pool.com:13531钱包:48aZSQhyDBCZokwmVd5HG5Gp7UrAeLVuVmZbKcs4rTZTx1UXGECxbePXha3qncffYYhJjG5FRGxM1scV9dbN62VCGiPdtQ
URLhxxp://183.63.127.227:808/
MD5fabd73f8bf2bc803703778457c06893681c965ac62471ab62e85ca441d0031e6
来源:medium.com编译:头等仓缺乏数字身份验证将降低区块链有效性,自主权身份将改善身份验证环节。?区块链网络最常见的用途就是价值转移。加密货币将会是未来数字资产的标准.
1900/1/1 0:00:00本文以Compound金融为案例,分析了新兴的DeFi生态系统的风险。入门区块链狂热者和机构投资者们正把目光聚焦于以太坊区块链上运行的开放式金融平台.
1900/1/1 0:00:001.项目介绍 上海市浦东公证处数据存证平台是一套区块链+公证业务数字化的业务系统。该系统通过互联网为企业及有需要的自然人提供数据存证、远程取证和摇号抽奖服务,旨在帮助用户在商务、知识产权等诸多领.
1900/1/1 0:00:00澳大利亚央行澳大利亚储备银行最近透露,该行模拟了在基于以太坊网络的批发支付系统中使用中央银行数字货币的结果.
1900/1/1 0:00:00作者:舒国柱。本文节选自《第三种货币形态》。编者注:原标题为《可授信的闪电网络》闪电网络中需要冻结比特币,导致两个问题:支付成本高,技术改进慢.
1900/1/1 0:00:00Facebook首席执行官马克·扎克伯格表示,数字世界需要监督,他提到政府监管是一种潜在的解决方案,但称社区自治是“另一种甚至更好的方式.
1900/1/1 0:00:00