TRU:黑产团伙利用Apache Struts 2漏洞及SQL爆破控制服务器挖矿_omni币圈什么网络

来源：腾讯御见威胁情报中心

一、概述

腾讯安全御见威胁情报中心监测到团伙利用ApacheStruts2远程命令执行漏洞攻击windows服务器，从团伙使用的文件列表来看，主要通过爆破或漏洞利用进行攻击，且针对windows服务器，已控制服务器270台左右，被下发挖矿木马的服务器有44台，该团伙挖取门罗币已赚得3.5万元。

二、详细分析

查看团伙HFS服务器文件列表，可以看到多个扫描爆破工具、漏洞利用工具、密码抓取工具、远程控制工具及端口转发工具。

爆破扫描模块

黑客使用1433扫描工具，配合密码表对sqlserver服务器进行爆破：

数据：Arbitrum活跃账户数突破800万:金色财经报道，据Dune Analytics最新数据显示，以太坊Layer 2扩容解决方案Arbitrum活跃账户数已突破800万，本文撰写时达到800.5万个，当前已创建总账户数为941.7万个，总交易量为3.0588亿笔，链上合约创建总量为2,740,159份。历史数据显示，Arbitrum活跃账户于6月18日突破700万，这意味着该指标值在过去一个月增长约15%。[2023/7/16 10:58:11]

3389爆破工具NLBrute1.2

V神：我对VR的担忧类似于一些反加密货币的人对加密货币的担忧:金色财经报道，以太坊创始人Vitalik Buterin在社交媒体上称，我对VR的担忧类似于一些反加密货币的人对加密货币的担忧：感觉人们 \"爱上了它的想法\"，其方式远远超过了实际应用。

就像加密货币一样，我确实认为重要的应用是存在的。但 \"为了VR而VR “是行不通的。[2022/10/28 11:53:04]

S扫描器

漏洞利用模块

ApacheStruts2远程命令执行漏洞利用

广州南沙在全国首推“元宇宙”赋能智慧新政务:金色财经报道，广州南沙政务服务中心基于多传感器融合的高精度三维重建技术，对线下政务大厅进行实体1:1模型制作与引擎渲染，搭建具有极高还原度的实景三维仿真场景，同时搭载顶尖的三维感知交互技术和丰富多彩的数字化内容，旨在打造全国第一个可实现全套感知交互服务的元宇宙政务平台，以数字化政务大厅为载体助推政务体系多元化发展、跨时代变革。（广州日报）[2022/10/14 14:27:50]

门罗币挖矿模块

对服务器入侵成功后，则下发挖矿挖矿模块2020.exe

分析师：完成合并的以太坊可能更容易受到政府审查:9月16日消息，Merkle Science首席研究员、前FBI分析师Coby Morgan表示，以太坊过渡至PoS可能会使其更容易受到政府干预和审查。以太坊验证者需要质押32 ETH才符合资格，以太坊可能会变得更加中心化。成为验证者的高昂成本可能导致验证节点整合到Binance、Coinbase和Kraken等更大的加密公司。

据此前报道，以太坊合并后超40%区块由Coinbase与Lido添加。（Cointelegraph）[2022/9/16 7:01:11]

矿池：xmr.f2pool.com:13531

钱包：

8aZSQhyDBCZokwmVd5HG5Gp7UrAeLVuVmZbKcs4rTZTx1UXGECxbePXha3qncffYYhJjG5FRGxM1scV9dbN62VCGiPdtQ

重庆市国家区块链创新应用综合性试点（渝中区）建设启动:6月24日，重庆市国家区块链创新应用综合性试点（渝中区）建设启动会在渝中区举行，此次试点将从技术平台、应用服务、产业生态、安全监管4个重点方向，重点打造28个区块链应用场景，突出技术生态、产业生态、标准体系、人才体系构建，促进区块链在政用、商用、民用领域的应用，挖掘释放数据价值，推动全市数字经济高质量发展。[2022/6/26 1:32:08]

目前已经挖到90个XMR，市值约35886人民币

端口转发工具ok.exe被ramnit蠕虫病感染

黑客服务器上的端口转发工具已经被ramnit感染，入口点被修改在最后一个.text节

RamnitC2:82.112.184.197:447，45.55.36.236:447，8.7.198.46:80

去掉ramnit感染代码后，实际上是一个端口转发工具

所以被入侵的windows服务器也同样会被感染Ramnit蠕虫病。Ramnit蠕虫病是影响Windows系统的计算机蠕虫。Ramnit感染可移动媒体，如USB驱动器，也隐藏在主引导记录中。主要感染.exe、.dll、.htm和.html扩展名的文件。2015年高峰时期，Ramnit曾经感染过超过300万台电脑。

三、同源分析

根据钱包地址进行关联，可以关联到F5研究团队在去年3月公布的“CryptoSink”行动中批量的钱包一样，当时已经挖掘到70个门罗币，可见这次挖矿攻击活动仍然跟“CryptoSink”关系较大。

四、安全建议

针对该黑产团伙的特点，我们建议企业用户参考以下方法解除风险：

1、建议修改远程桌面默认端口，或限制允许访问的IP地址；

2、升级ApacheStruts2至最新版，以修复安全漏洞。受影响版本Struts2.3.5–Struts2.3.31，Struts2.5–Struts2.5.10；

3、修改sqlserver密码，不要使用弱密码，弱密码非常容易被爆破入侵。SQL服务器被攻陷还可能导致严重的信息泄露风险。

IOCs

矿池：xmr.f2pool.com:13531钱包：48aZSQhyDBCZokwmVd5HG5Gp7UrAeLVuVmZbKcs4rTZTx1UXGECxbePXha3qncffYYhJjG5FRGxM1scV9dbN62VCGiPdtQ

URLhxxp://183.63.127.227:808/

MD5fabd73f8bf2bc803703778457c06893681c965ac62471ab62e85ca441d0031e6

标签：TRUMNIRAMAMNtrustwallet官网下载omni币圈什么网络ramp币和leverfi币AMN价格

比特币交易热门资讯