黑產團伙利用Apache Struts 2漏洞及SQL爆破控制服務器挖礦_JGN

來源：騰訊御見威脅情報中心

一、概述

騰訊安全御見威脅情報中心監測到團伙利用ApacheStruts2遠程命令執行漏洞攻擊windows服務器，從團伙使用的文件列表來看，主要通過爆破或漏洞利用進行攻擊，且針對windows服務器，已控制服務器270臺左右，被下發挖礦木馬的服務器有44臺，該團伙挖取門羅幣已賺得3.5萬元。

二、詳細分析

查看團伙HFS服務器文件列表，可以看到多個掃描爆破工具、漏洞利用工具、密碼抓取工具、遠程控制工具及端口轉發工具。

爆破掃描模塊

黑客使用1433掃描工具，配合密碼表對sqlserver服務器進行爆破：

RTFKT&Clones加入耐克Web3生態系統平臺“.Swoosh”:金色財經報道，據加密時尚潮牌 RTFKT 在社交媒體宣布，RTFKT&Clones 已加入耐克最新推出的 Web3 生態系統平臺“.Swoosh”，Clone X 持有者現在可以通過 RTFKT 官網獲取唯一代碼來申領自己的“.Swoosh ID”，每個 Clone X 持有者/錢包有資格獲得 1 個代碼，目前已于美國東部時間 2023 年 2 月 3 日上午 9:10 完成錢包快照。[2023/2/8 11:53:59]

3389爆破工具NLBrute1.2

土耳其數字政府門戶網站將支持使用基于區塊鏈的數字身份登錄:1月2日消息，土耳其計劃將區塊鏈技術應用于在線公共服務登錄。土耳其數字政府門戶網站e-Devlet用于訪問各種公共服務，將使用基于區塊鏈的數字身份在登錄時驗證土耳其公民身份。

土耳其副總統Fuat Oktay在Digital Türkiye 2023活動期間宣布，公民將能夠使用基于區塊鏈的數字身份訪問電子錢包應用程序。Oktay稱其區塊鏈應用程序是電子政務工作的一次革命，并表示使用區塊鏈的在線服務將更加安全和方便。用戶能夠將其數字信息保存在手機上。“通過在電子錢包應用程序范圍內運行的登錄系統，我們的公民將能夠使用在區塊鏈網絡中創建的數字身份進入e-Devlet。”（Cointelegraph）[2023/1/3 22:21:23]

S掃描器

美國SEC指控四人參與一項欺詐性加密資產金字塔計劃:金色財經報道，美國SEC指控四人參與一項欺詐性加密資產金字塔計劃，該計劃從數百名散戶投資者那里籌集了超過840萬美元，這些散戶投資者主要來自美國各地的西班牙語社區。[2022/12/21 21:59:25]

漏洞利用模塊

ApacheStruts2遠程命令執行漏洞利用

門羅幣挖礦模塊

對服務器入侵成功后，則下發挖礦挖礦模塊2020.exe

JGN正式開啟第三次DAO投票:官方消息，北京時間8月11日晚10點JGN正式開啟第三次DAO投票，用戶可投票決定關于新的LP質押池的相關規則。DJGN會員用戶可在特定網頁，鏈接錢包進行關于LP質押池的投票選擇。鉆石 JGN（或 dJGN）是一個獎勵早期支持者和貢獻者的會員計劃。

JGN是一個具有DeFi基礎設施的 Metaverse NFT 2.0 項目。旗下JGNnft是專注于BSC社區的NFT+DEFI交易所。[2022/8/12 12:19:50]

礦池：xmr.f2pool.com:13531

錢包：

8aZSQhyDBCZokwmVd5HG5Gp7UrAeLVuVmZbKcs4rTZTx1UXGECxbePXha3qncffYYhJjG5FRGxM1scV9dbN62VCGiPdtQ

目前已經挖到90個XMR，市值約35886人民幣

端口轉發工具ok.exe被ramnit蠕蟲病感染

黑客服務器上的端口轉發工具已經被ramnit感染，入口點被修改在最后一個.text節

RamnitC2:82.112.184.197:447，45.55.36.236:447，8.7.198.46:80

去掉ramnit感染代碼后，實際上是一個端口轉發工具

所以被入侵的windows服務器也同樣會被感染Ramnit蠕蟲病。Ramnit蠕蟲病是影響Windows系統的計算機蠕蟲。Ramnit感染可移動媒體，如USB驅動器，也隱藏在主引導記錄中。主要感染.exe、.dll、.htm和.html擴展名的文件。2015年高峰時期，Ramnit曾經感染過超過300萬臺電腦。

三、同源分析

根據錢包地址進行關聯，可以關聯到F5研究團隊在去年3月公布的“CryptoSink”行動中批量的錢包一樣，當時已經挖掘到70個門羅幣，可見這次挖礦攻擊活動仍然跟“CryptoSink”關系較大。

四、安全建議

針對該黑產團伙的特點，我們建議企業用戶參考以下方法解除風險：

1、建議修改遠程桌面默認端口，或限制允許訪問的IP地址；

2、升級ApacheStruts2至最新版，以修復安全漏洞。受影響版本Struts2.3.5–Struts2.3.31，Struts2.5–Struts2.5.10；

3、修改sqlserver密碼，不要使用弱密碼，弱密碼非常容易被爆破入侵。SQL服務器被攻陷還可能導致嚴重的信息泄露風險。

IOCs

礦池：xmr.f2pool.com:13531錢包：48aZSQhyDBCZokwmVd5HG5Gp7UrAeLVuVmZbKcs4rTZTx1UXGECxbePXha3qncffYYhJjG5FRGxM1scV9dbN62VCGiPdtQ

URLhxxp://183.63.127.227:808/

MD5fabd73f8bf2bc803703778457c06893681c965ac62471ab62e85ca441d0031e6

Tags：RAMAMNMNIJGNRAMADAMN價格omni幣價格jgn幣最新消息

火幣下載