比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads

黑產團伙利用Apache Struts 2漏洞及SQL爆破控制服務器挖礦_JGN

Author:

Time:1900/1/1 0:00:00

來源:騰訊御見威脅情報中心

一、概述

騰訊安全御見威脅情報中心監測到團伙利用ApacheStruts2遠程命令執行漏洞攻擊windows服務器,從團伙使用的文件列表來看,主要通過爆破或漏洞利用進行攻擊,且針對windows服務器,已控制服務器270臺左右,被下發挖礦木馬的服務器有44臺,該團伙挖取門羅幣已賺得3.5萬元。

二、詳細分析

查看團伙HFS服務器文件列表,可以看到多個掃描爆破工具、漏洞利用工具、密碼抓取工具、遠程控制工具及端口轉發工具。

爆破掃描模塊

黑客使用1433掃描工具,配合密碼表對sqlserver服務器進行爆破:

RTFKT&Clones加入耐克Web3生態系統平臺“.Swoosh”:金色財經報道,據加密時尚潮牌 RTFKT 在社交媒體宣布,RTFKT&Clones 已加入耐克最新推出的 Web3 生態系統平臺“.Swoosh”,Clone X 持有者現在可以通過 RTFKT 官網獲取唯一代碼來申領自己的“.Swoosh ID”,每個 Clone X 持有者/錢包有資格獲得 1 個代碼,目前已于美國東部時間 2023 年 2 月 3 日上午 9:10 完成錢包快照。[2023/2/8 11:53:59]

3389爆破工具NLBrute1.2

土耳其數字政府門戶網站將支持使用基于區塊鏈的數字身份登錄:1月2日消息,土耳其計劃將區塊鏈技術應用于在線公共服務登錄。土耳其數字政府門戶網站e-Devlet用于訪問各種公共服務,將使用基于區塊鏈的數字身份在登錄時驗證土耳其公民身份。

土耳其副總統Fuat Oktay在Digital Türkiye 2023活動期間宣布,公民將能夠使用基于區塊鏈的數字身份訪問電子錢包應用程序。Oktay稱其區塊鏈應用程序是電子政務工作的一次革命,并表示使用區塊鏈的在線服務將更加安全和方便。用戶能夠將其數字信息保存在手機上。“通過在電子錢包應用程序范圍內運行的登錄系統,我們的公民將能夠使用在區塊鏈網絡中創建的數字身份進入e-Devlet。”(Cointelegraph)[2023/1/3 22:21:23]

S掃描器

美國SEC指控四人參與一項欺詐性加密資產金字塔計劃:金色財經報道,美國SEC指控四人參與一項欺詐性加密資產金字塔計劃,該計劃從數百名散戶投資者那里籌集了超過840萬美元,這些散戶投資者主要來自美國各地的西班牙語社區。[2022/12/21 21:59:25]

漏洞利用模塊

ApacheStruts2遠程命令執行漏洞利用

門羅幣挖礦模塊

對服務器入侵成功后,則下發挖礦挖礦模塊2020.exe

JGN正式開啟第三次DAO投票:官方消息,北京時間8月11日晚10點JGN正式開啟第三次DAO投票,用戶可投票決定關于新的LP質押池的相關規則。DJGN會員用戶可在特定網頁,鏈接錢包進行關于LP質押池的投票選擇。鉆石 JGN(或 dJGN)是一個獎勵早期支持者和貢獻者的會員計劃。

JGN是一個具有DeFi基礎設施的 Metaverse NFT 2.0 項目。旗下JGNnft是專注于BSC社區的NFT+DEFI交易所。[2022/8/12 12:19:50]

礦池:xmr.f2pool.com:13531

錢包:

8aZSQhyDBCZokwmVd5HG5Gp7UrAeLVuVmZbKcs4rTZTx1UXGECxbePXha3qncffYYhJjG5FRGxM1scV9dbN62VCGiPdtQ

目前已經挖到90個XMR,市值約35886人民幣

端口轉發工具ok.exe被ramnit蠕蟲病感染

黑客服務器上的端口轉發工具已經被ramnit感染,入口點被修改在最后一個.text節

RamnitC2:82.112.184.197:447,45.55.36.236:447,8.7.198.46:80

去掉ramnit感染代碼后,實際上是一個端口轉發工具

所以被入侵的windows服務器也同樣會被感染Ramnit蠕蟲病。Ramnit蠕蟲病是影響Windows系統的計算機蠕蟲。Ramnit感染可移動媒體,如USB驅動器,也隱藏在主引導記錄中。主要感染.exe、.dll、.htm和.html擴展名的文件。2015年高峰時期,Ramnit曾經感染過超過300萬臺電腦。

三、同源分析

根據錢包地址進行關聯,可以關聯到F5研究團隊在去年3月公布的“CryptoSink”行動中批量的錢包一樣,當時已經挖掘到70個門羅幣,可見這次挖礦攻擊活動仍然跟“CryptoSink”關系較大。

四、安全建議

針對該黑產團伙的特點,我們建議企業用戶參考以下方法解除風險:

1、建議修改遠程桌面默認端口,或限制允許訪問的IP地址;

2、升級ApacheStruts2至最新版,以修復安全漏洞。受影響版本Struts2.3.5–Struts2.3.31,Struts2.5–Struts2.5.10;

3、修改sqlserver密碼,不要使用弱密碼,弱密碼非常容易被爆破入侵。SQL服務器被攻陷還可能導致嚴重的信息泄露風險。

IOCs

礦池:xmr.f2pool.com:13531錢包:48aZSQhyDBCZokwmVd5HG5Gp7UrAeLVuVmZbKcs4rTZTx1UXGECxbePXha3qncffYYhJjG5FRGxM1scV9dbN62VCGiPdtQ

URLhxxp://183.63.127.227:808/

MD5fabd73f8bf2bc803703778457c06893681c965ac62471ab62e85ca441d0031e6

Tags:RAMAMNMNIJGNRAMADAMN價格omni幣價格jgn幣最新消息

火幣下載
首個地方金融非現場監管區塊鏈系統發布_LINU

來源:南方日報 南方日報訊“區塊鏈系統上線后,2020年廣東打好防范化解金融風險攻堅戰又增加了有力的武器。”廣東省地方金融監督管理局副局長李騰飛在地方金融非現場監管區塊鏈系統發布會上表示.

1900/1/1 0:00:00
閑談哈耶克、中本聰與比特幣_APE

2009年1月3日18點15分零5秒,比特幣的創世區塊誕生。中本聰在比特幣的創世區塊上刻下了一句話:“TheTimes03/Jan/2009Chancelloronbrinkofsecondba.

1900/1/1 0:00:00
韓國財政部:現行稅法不會征收加密貨幣交易所得稅_LUD

根據韓國財政部的最新公告,該國現行稅法不會對通過加密貨幣交易獲得的收益征稅。韓國財政和戰略部最近解答了關于加密貨幣交易收益征稅的困惑。根據財政部的公告,現行稅法不支持對加密貨幣收益征稅.

1900/1/1 0:00:00
評論 | 公鏈沒有“前途”,做聯盟鏈就一帆風順了?_CHA

作者丨不二做 編輯丨門人 運營丨一百 “不要覺得現在聯盟鏈發展勢頭強勁,就一味的去稱贊聯盟鏈,貶低公鏈。”云象區塊鏈創始人黃步添如是說道.

1900/1/1 0:00:00
觀點 | 2020后區塊鏈世界及安全的一些思考_加密貨幣

作者:余弦 來源:懶人在思考 在這作為已經是區塊鏈世界的局內人,我有一些思考寫出來和我的關注者們聊聊。首先過去兩年,我在這已經做了一些主要圍繞區塊鏈安全的分享.

1900/1/1 0:00:00
以太坊2.0發布最終規范_ETH

前言:以太坊2.0最終規范終于發布,距離其全面推出又近了一步。本次發布主要涉及將IETFBLS標準集成到eth2的規范中。本文來自trustnodes,由藍狐筆記“JeTe”翻譯.

1900/1/1 0:00:00
ads