MNI:黑产团伙利用Apache Struts 2漏洞及SQL爆破控制服务器挖矿_NUTS

来源：腾讯御见威胁情报中心

一、概述

腾讯安全御见威胁情报中心监测到团伙利用ApacheStruts2远程命令执行漏洞攻击windows服务器，从团伙使用的文件列表来看，主要通过爆破或漏洞利用进行攻击，且针对windows服务器，已控制服务器270台左右，被下发挖矿木马的服务器有44台，该团伙挖取门罗币已赚得3.5万元。

二、详细分析

查看团伙HFS服务器文件列表，可以看到多个扫描爆破工具、漏洞利用工具、密码抓取工具、远程控制工具及端口转发工具。

爆破扫描模块

黑客使用1433扫描工具，配合密码表对sqlserver服务器进行爆破：

纽约梅隆银行CEO：数字资产是该银行最长期的投资:金色财经报道，纽约梅隆银行（BNY Mellon）首席执行官 Robin Vince 在周五的财报电话会议上表示，数字资产是该银行“最长期的投资”，并承认银行必须适应技术变革。他说：“我们正在为一个可能会实现的未来进行投资，有可能不会实现，但如果它确实存在，我们必须在那里，我们确实认为参与更广泛的数字资产领域对我们来说很重要”。Vince 还将忽视数字资产市场的从业者比作“50 年前的保管人，坚持使用纸张而不采用计算机……那不会是我们。”

此前报道，纽约梅隆银行去年获得纽约金融监管机构的批准，可以接收特定客户的比特币和以太坊存款，该银行正在与 Fireblocks 和 Chainalysis 合作，作为其托管业务的两个主要合作伙伴。[2023/1/14 11:11:16]

交易聚合协议OpenOcean已集成QuickSwap:10月21日消息，DEX与CEX交易聚合协议OpenOcean宣布已集成Polygon上DEX QuickSwap。[2022/10/21 16:34:54]

3389爆破工具NLBrute1.2

S扫描器

漏洞利用模块

ApacheStruts2远程命令执行漏洞利用

市场分析：美联储将强调他们对提高利率的坚定态度:12月4日消息，在即将进行的美联储利率决议中，美联储官员可能还想强调他们对更高利率的坚定态度，以反击华尔街，因为华尔街认为，美联储计划下调加息幅度是放宽金融环境，这可能是不受欢迎的。美联储一直在刻意收紧环境，以减少需求和缓解价格压力。\"更广泛的金融条件正在变得更舒适，我不清楚美联储是否取得了很大的进展。\"

Amherst Pierpont Securities LLC的首席经济学家Stephen Stanley说，“美联储仍有很多工作要做，以让经济得到足够的冷却，特别是劳动力市场，才能达到他们想要的通胀水平。我们肯定还没有达到那个目标。\"(金十)[2022/12/4 21:21:21]

观点：比特币与华尔街“不需要”彼此，但它们相处可能会更好:金色财经报道，据研究分析师发文称，华尔街不需要比特币，因为没有比特币它会继续赚钱。在华尔街公司不接触比特币的情况下，咨询和交易费用仍将带来持续的收益。

其次，比特币不需要华尔街，因为它会在没有第三方的情况下继续存在。比特币将继续为生活在独裁统治或两位数通货膨胀下的人们提供选择。

但实际上，虽然他们不需要彼此，但他们不会完全伤害对方。华尔街全面接受比特币意味着华尔街可以获得更多收入，从而获得更多资金；这种拥抱也可能意味着通过提高比特币价格为比特币持有者带来更多的回报。（CoinDesk）[2022/9/12 13:23:23]

门罗币挖矿模块

对服务器入侵成功后，则下发挖矿挖矿模块2020.exe

矿池：xmr.f2pool.com:13531

钱包：

8aZSQhyDBCZokwmVd5HG5Gp7UrAeLVuVmZbKcs4rTZTx1UXGECxbePXha3qncffYYhJjG5FRGxM1scV9dbN62VCGiPdtQ

目前已经挖到90个XMR，市值约35886人民币

端口转发工具ok.exe被ramnit蠕虫病感染

黑客服务器上的端口转发工具已经被ramnit感染，入口点被修改在最后一个.text节

RamnitC2:82.112.184.197:447，45.55.36.236:447，8.7.198.46:80

去掉ramnit感染代码后，实际上是一个端口转发工具

所以被入侵的windows服务器也同样会被感染Ramnit蠕虫病。Ramnit蠕虫病是影响Windows系统的计算机蠕虫。Ramnit感染可移动媒体，如USB驱动器，也隐藏在主引导记录中。主要感染.exe、.dll、.htm和.html扩展名的文件。2015年高峰时期，Ramnit曾经感染过超过300万台电脑。

三、同源分析

根据钱包地址进行关联，可以关联到F5研究团队在去年3月公布的“CryptoSink”行动中批量的钱包一样，当时已经挖掘到70个门罗币，可见这次挖矿攻击活动仍然跟“CryptoSink”关系较大。

四、安全建议

针对该黑产团伙的特点，我们建议企业用户参考以下方法解除风险：

1、建议修改远程桌面默认端口，或限制允许访问的IP地址；

2、升级ApacheStruts2至最新版，以修复安全漏洞。受影响版本Struts2.3.5–Struts2.3.31，Struts2.5–Struts2.5.10；

3、修改sqlserver密码，不要使用弱密码，弱密码非常容易被爆破入侵。SQL服务器被攻陷还可能导致严重的信息泄露风险。

IOCs

矿池：xmr.f2pool.com:13531钱包：48aZSQhyDBCZokwmVd5HG5Gp7UrAeLVuVmZbKcs4rTZTx1UXGECxbePXha3qncffYYhJjG5FRGxM1scV9dbN62VCGiPdtQ

URLhxxp://183.63.127.227:808/

MD5fabd73f8bf2bc803703778457c06893681c965ac62471ab62e85ca441d0031e6

标签：MNIRAMAMNUTSMNI价格ram币bscSTREAMN币NUTS

SAND热门资讯