TRU:黑产团伙利用Apache Struts 2漏洞及SQL爆破控制服务器挖矿

来源：腾讯御见威胁情报中心

一、概述

腾讯安全御见威胁情报中心监测到团伙利用ApacheStruts2远程命令执行漏洞攻击windows服务器，从团伙使用的文件列表来看，主要通过爆破或漏洞利用进行攻击，且针对windows服务器，已控制服务器270台左右，被下发挖矿木马的服务器有44台，该团伙挖取门罗币已赚得3.5万元。

二、详细分析

查看团伙HFS服务器文件列表，可以看到多个扫描爆破工具、漏洞利用工具、密码抓取工具、远程控制工具及端口转发工具。

爆破扫描模块

黑客使用1433扫描工具，配合密码表对sqlserver服务器进行爆破：

Arbitrum生态DEX Camelot已上线v3农场，支持集成自动化策略:8月10日消息，Arbitrum生态DEX Camelot已上线v3农场，用户可以在集中范围内提供流动性，并支持用户直接在应用程序中集成自动化策略，实现模块化的v3流动性管理方法。[2023/8/10 16:17:22]

3389爆破工具NLBrute1.2

美股三大指数集体收涨 大型科技股普涨:金色财经报道，美股三大指数集体收涨，纳指涨1.28%，标普500指数涨0.99%，道指涨0.47%。大型科技股普涨。[2023/6/2 11:53:42]

S扫描器

漏洞利用模块

ApacheStruts2远程命令执行漏洞利用

ChainAegis：出现比特币铭文钱包UniSat的假冒网站，提醒用户勿与其交互:5月14日消息，据 ChainAegis 安全监测显示，近期出现了比特币铭文钱包 UniSat 的假冒网站，包括 unisats.io 和 unisatscn.xyz，勿与其交互以免造成不必要的损失。[2023/5/14 15:02:03]

门罗币挖矿模块

对服务器入侵成功后，则下发挖矿挖矿模块2020.exe

加密货币借贷平台Nexo计划未来6个月内回购5000万美元NEXO代币:金色财经消息，据外媒报道，加密货币借贷平台Nexo计划在未来6个月的时间内回购价值5000万美元的NEXO代币，其此前于2021年11月至2022年5月之间回购了1亿美元的NEXO代币。被回购的代币将被发送到公司的链上投资者保护储备金中，并分12个月释放，之后将会用于平台上的利息支付或进行战略投资。（CoinDesk）[2022/8/31 12:58:53]

矿池：xmr.f2pool.com:13531

钱包：

8aZSQhyDBCZokwmVd5HG5Gp7UrAeLVuVmZbKcs4rTZTx1UXGECxbePXha3qncffYYhJjG5FRGxM1scV9dbN62VCGiPdtQ

dYdX计划使用Cosmos SDK启动自己的应用链:金色财经消息，去中心化衍生品交易平台dYdX计划使用Cosmos SDK启动自己的应用链，它将开发一个去中心化的链下订单簿和匹配引擎，并从以太坊转移到dYdX特定的应用链上。（TheBlock）[2022/6/22 1:25:06]

目前已经挖到90个XMR，市值约35886人民币

端口转发工具ok.exe被ramnit蠕虫病感染

黑客服务器上的端口转发工具已经被ramnit感染，入口点被修改在最后一个.text节

RamnitC2:82.112.184.197:447，45.55.36.236:447，8.7.198.46:80

去掉ramnit感染代码后，实际上是一个端口转发工具

所以被入侵的windows服务器也同样会被感染Ramnit蠕虫病。Ramnit蠕虫病是影响Windows系统的计算机蠕虫。Ramnit感染可移动媒体，如USB驱动器，也隐藏在主引导记录中。主要感染.exe、.dll、.htm和.html扩展名的文件。2015年高峰时期，Ramnit曾经感染过超过300万台电脑。

三、同源分析

根据钱包地址进行关联，可以关联到F5研究团队在去年3月公布的“CryptoSink”行动中批量的钱包一样，当时已经挖掘到70个门罗币，可见这次挖矿攻击活动仍然跟“CryptoSink”关系较大。

四、安全建议

针对该黑产团伙的特点，我们建议企业用户参考以下方法解除风险：

1、建议修改远程桌面默认端口，或限制允许访问的IP地址；

2、升级ApacheStruts2至最新版，以修复安全漏洞。受影响版本Struts2.3.5–Struts2.3.31，Struts2.5–Struts2.5.10；

3、修改sqlserver密码，不要使用弱密码，弱密码非常容易被爆破入侵。SQL服务器被攻陷还可能导致严重的信息泄露风险。

IOCs

矿池：xmr.f2pool.com:13531钱包：48aZSQhyDBCZokwmVd5HG5Gp7UrAeLVuVmZbKcs4rTZTx1UXGECxbePXha3qncffYYhJjG5FRGxM1scV9dbN62VCGiPdtQ

URLhxxp://183.63.127.227:808/

MD5fabd73f8bf2bc803703778457c06893681c965ac62471ab62e85ca441d0031e6

郑重声明： 本文版权归原作者所有， 转载文章仅为传播更多信息之目的， 如作者信息标记有误， 请第一时间联系我们修改或删除， 多谢。