来源:腾讯御见威胁情报中心
一、概述
腾讯安全御见威胁情报中心监测到团伙利用ApacheStruts2远程命令执行漏洞攻击windows服务器,从团伙使用的文件列表来看,主要通过爆破或漏洞利用进行攻击,且针对windows服务器,已控制服务器270台左右,被下发挖矿木马的服务器有44台,该团伙挖取门罗币已赚得3.5万元。
二、详细分析
查看团伙HFS服务器文件列表,可以看到多个扫描爆破工具、漏洞利用工具、密码抓取工具、远程控制工具及端口转发工具。
爆破扫描模块
黑客使用1433扫描工具,配合密码表对sqlserver服务器进行爆破:
纽约梅隆银行CEO:数字资产是该银行最长期的投资:金色财经报道,纽约梅隆银行(BNY Mellon)首席执行官 Robin Vince 在周五的财报电话会议上表示,数字资产是该银行“最长期的投资”,并承认银行必须适应技术变革。他说:“我们正在为一个可能会实现的未来进行投资,有可能不会实现,但如果它确实存在,我们必须在那里,我们确实认为参与更广泛的数字资产领域对我们来说很重要”。Vince 还将忽视数字资产市场的从业者比作“50 年前的保管人,坚持使用纸张而不采用计算机……那不会是我们。”
此前报道,纽约梅隆银行去年获得纽约金融监管机构的批准,可以接收特定客户的比特币和以太坊存款,该银行正在与 Fireblocks 和 Chainalysis 合作,作为其托管业务的两个主要合作伙伴。[2023/1/14 11:11:16]
交易聚合协议OpenOcean已集成QuickSwap:10月21日消息,DEX与CEX交易聚合协议OpenOcean宣布已集成Polygon上DEX QuickSwap。[2022/10/21 16:34:54]
3389爆破工具NLBrute1.2
S扫描器
漏洞利用模块
ApacheStruts2远程命令执行漏洞利用
市场分析:美联储将强调他们对提高利率的坚定态度:12月4日消息,在即将进行的美联储利率决议中,美联储官员可能还想强调他们对更高利率的坚定态度,以反击华尔街,因为华尔街认为,美联储计划下调加息幅度是放宽金融环境,这可能是不受欢迎的。美联储一直在刻意收紧环境,以减少需求和缓解价格压力。\"更广泛的金融条件正在变得更舒适,我不清楚美联储是否取得了很大的进展。\"
Amherst Pierpont Securities LLC的首席经济学家Stephen Stanley说,“美联储仍有很多工作要做,以让经济得到足够的冷却,特别是劳动力市场,才能达到他们想要的通胀水平。我们肯定还没有达到那个目标。\"(金十)[2022/12/4 21:21:21]
观点:比特币与华尔街“不需要”彼此,但它们相处可能会更好:金色财经报道,据研究分析师发文称,华尔街不需要比特币,因为没有比特币它会继续赚钱。在华尔街公司不接触比特币的情况下,咨询和交易费用仍将带来持续的收益。
其次,比特币不需要华尔街,因为它会在没有第三方的情况下继续存在。比特币将继续为生活在独裁统治或两位数通货膨胀下的人们提供选择。
但实际上,虽然他们不需要彼此,但他们不会完全伤害对方。华尔街全面接受比特币意味着华尔街可以获得更多收入,从而获得更多资金;这种拥抱也可能意味着通过提高比特币价格为比特币持有者带来更多的回报。(CoinDesk)[2022/9/12 13:23:23]
门罗币挖矿模块
对服务器入侵成功后,则下发挖矿挖矿模块2020.exe
矿池:xmr.f2pool.com:13531
钱包:
8aZSQhyDBCZokwmVd5HG5Gp7UrAeLVuVmZbKcs4rTZTx1UXGECxbePXha3qncffYYhJjG5FRGxM1scV9dbN62VCGiPdtQ
目前已经挖到90个XMR,市值约35886人民币
端口转发工具ok.exe被ramnit蠕虫病感染
黑客服务器上的端口转发工具已经被ramnit感染,入口点被修改在最后一个.text节
RamnitC2:82.112.184.197:447,45.55.36.236:447,8.7.198.46:80
去掉ramnit感染代码后,实际上是一个端口转发工具
所以被入侵的windows服务器也同样会被感染Ramnit蠕虫病。Ramnit蠕虫病是影响Windows系统的计算机蠕虫。Ramnit感染可移动媒体,如USB驱动器,也隐藏在主引导记录中。主要感染.exe、.dll、.htm和.html扩展名的文件。2015年高峰时期,Ramnit曾经感染过超过300万台电脑。
三、同源分析
根据钱包地址进行关联,可以关联到F5研究团队在去年3月公布的“CryptoSink”行动中批量的钱包一样,当时已经挖掘到70个门罗币,可见这次挖矿攻击活动仍然跟“CryptoSink”关系较大。
四、安全建议
针对该黑产团伙的特点,我们建议企业用户参考以下方法解除风险:
1、建议修改远程桌面默认端口,或限制允许访问的IP地址;
2、升级ApacheStruts2至最新版,以修复安全漏洞。受影响版本Struts2.3.5–Struts2.3.31,Struts2.5–Struts2.5.10;
3、修改sqlserver密码,不要使用弱密码,弱密码非常容易被爆破入侵。SQL服务器被攻陷还可能导致严重的信息泄露风险。
IOCs
矿池:xmr.f2pool.com:13531钱包:48aZSQhyDBCZokwmVd5HG5Gp7UrAeLVuVmZbKcs4rTZTx1UXGECxbePXha3qncffYYhJjG5FRGxM1scV9dbN62VCGiPdtQ
URLhxxp://183.63.127.227:808/
MD5fabd73f8bf2bc803703778457c06893681c965ac62471ab62e85ca441d0031e6
记者:陈鹏 来源:新京报 新京报讯1月15日,新京报记者获悉,《加快推进上海金融科技中心建设实施方案》已经印发。方案的“重点任务”中提到,积极支持人民银行数字货币研究所在沪设立金融科技公司.
一、流通现钞转向塑料钞 据统计目前已有13个国家的全套钞票都采用塑料钞,英国是其中一个,不仅该国央行计划发行全套塑料钞.
作者:GregCipolaro翻译:ZoeZhou?? 来源:加密谷 编者注:原标题为《BTCETF和定价在监管层面取得巨大进展》自2013年以来.
一、现状 虽然我们每个人都希望区块链能尽早的落地,而且从每天的新闻当中,好像也看到有一些区块链的产品陆续落地了,比如说腾讯的区块链发票,比如说央行的基于区块链的数字票据系统.
写在前面:本文作者为区块链开发者RonaldMannak。他在文章中通过简单的描述说明了零知识证明对区块链可扩展性的意义。很多人都写过关于零知识证明的技术文章.
超级账本是一个旨在推动区块链跨行业应用的开源项目,由Linux基金会在2015年12月主导发起,成员包括金融,银行,物联网,供应链,制造和科技行业的领头羊.