RAM:黑产团伙利用Apache Struts 2漏洞及SQL爆破控制服务器挖矿

来源：腾讯御见威胁情报中心

一、概述

腾讯安全御见威胁情报中心监测到团伙利用ApacheStruts2远程命令执行漏洞攻击windows服务器，从团伙使用的文件列表来看，主要通过爆破或漏洞利用进行攻击，且针对windows服务器，已控制服务器270台左右，被下发挖矿木马的服务器有44台，该团伙挖取门罗币已赚得3.5万元。

二、详细分析

查看团伙HFS服务器文件列表，可以看到多个扫描爆破工具、漏洞利用工具、密码抓取工具、远程控制工具及端口转发工具。

爆破扫描模块

黑客使用1433扫描工具，配合密码表对sqlserver服务器进行爆破：

Aave社区发起在Polygon zkEVM主网上部署Aave V3 MVP版本的温度检查讨论:3月3日消息，Aave社区发起关于在Polygon zkEVM主网上部署Aave V3 MVP版本的温度检查治理讨论。目前，社区希望通过该提案讨论，在zkEVML2上部署Aave V3.0.1（MVP V3），将使Aave Governance在该网络上尽早建立战略地位。部署AaveV3开发工作量较小，但为了减少风险，该提案建议限制流入资产，并设置保守的风险参数，使开发和风险服务提供商对zkEVM网络进行更深入的分析。该提案建议只加入三个抵押品（WETH、WMATIC和USDC）和一个可借贷资产（USDC），以减少风险。[2023/3/3 12:40:50]

Belfrics在墨西哥推出基于区块链的钱包和汇款业务:金色财经报道，由Belfrics Group运营的实体Belfrics Mexico已开始在墨西哥开展业务，以服务于墨西哥不断增长的区块链、加密货币和数字资产市场。Belfrics Mexico将推出其基于区块链的钱包和汇款解决方案，以利用拉丁美洲汇款流量增加的趋势。

墨西哥正在成为区块链和加密货币创新的温床。墨西哥市场因其汇款业务而成为拉丁美洲主要的加密货币机会之一。据全球市场和消费者数据提供商 Statista 称，墨西哥最大的金融科技细分市场将是数字支付，2022 年的总交易额将达到 710 亿美元。预计 Neobanking 细分市场将在 2023 年实现 46.3% 的收入增长。（雅虎财经）[2022/8/21 12:38:08]

3389爆破工具NLBrute1.2

币安将推出灵魂绑定代币BAB作为KYC凭证:8月1日消息，币安将推出灵魂绑定代币Binance Account Bound（BAB），通过KYC的用户可以直接在账户中铸造BAB，也可以选择其他钱包来存储该代币。当前BAB将作为KYC凭证，未来预计币安将创建更多的灵魂绑定代币并应用于安全等方面。（Tech in Asia）[2022/8/2 2:51:54]

S扫描器

漏洞利用模块

ApacheStruts2远程命令执行漏洞利用

以太坊市值突破1800亿美元关口:金色财经报道，据CoinMarketCap最新数据显示，以太坊市值突破1800亿美元关口，本文撰写时为180,500,518,891美元。当前ETH价格已涨至1500美元附近，日内涨幅超10%，此外，当前ETH流通供应量为121,595,716ETH。[2022/7/18 2:21:21]

门罗币挖矿模块

对服务器入侵成功后，则下发挖矿挖矿模块2020.exe

NFT市场Artcrypted将于6月在Avalanche上推出:5月22日消息，数字收藏品平台Artcrypted将于6月在Avalanche上推出其NFT艺术市场。根据其业务发展战略，Artcrypted将在第一阶段优先邀请拉丁美洲的艺术家入驻平台。（U.Today）[2022/5/22 3:34:16]

矿池：xmr.f2pool.com:13531

钱包：

8aZSQhyDBCZokwmVd5HG5Gp7UrAeLVuVmZbKcs4rTZTx1UXGECxbePXha3qncffYYhJjG5FRGxM1scV9dbN62VCGiPdtQ

目前已经挖到90个XMR，市值约35886人民币

端口转发工具ok.exe被ramnit蠕虫病感染

黑客服务器上的端口转发工具已经被ramnit感染，入口点被修改在最后一个.text节

RamnitC2:82.112.184.197:447，45.55.36.236:447，8.7.198.46:80

去掉ramnit感染代码后，实际上是一个端口转发工具

所以被入侵的windows服务器也同样会被感染Ramnit蠕虫病。Ramnit蠕虫病是影响Windows系统的计算机蠕虫。Ramnit感染可移动媒体，如USB驱动器，也隐藏在主引导记录中。主要感染.exe、.dll、.htm和.html扩展名的文件。2015年高峰时期，Ramnit曾经感染过超过300万台电脑。

三、同源分析

根据钱包地址进行关联，可以关联到F5研究团队在去年3月公布的“CryptoSink”行动中批量的钱包一样，当时已经挖掘到70个门罗币，可见这次挖矿攻击活动仍然跟“CryptoSink”关系较大。

四、安全建议

针对该黑产团伙的特点，我们建议企业用户参考以下方法解除风险：

1、建议修改远程桌面默认端口，或限制允许访问的IP地址；

2、升级ApacheStruts2至最新版，以修复安全漏洞。受影响版本Struts2.3.5–Struts2.3.31，Struts2.5–Struts2.5.10；

3、修改sqlserver密码，不要使用弱密码，弱密码非常容易被爆破入侵。SQL服务器被攻陷还可能导致严重的信息泄露风险。

IOCs

矿池：xmr.f2pool.com:13531钱包：48aZSQhyDBCZokwmVd5HG5Gp7UrAeLVuVmZbKcs4rTZTx1UXGECxbePXha3qncffYYhJjG5FRGxM1scV9dbN62VCGiPdtQ

URLhxxp://183.63.127.227:808/

MD5fabd73f8bf2bc803703778457c06893681c965ac62471ab62e85ca441d0031e6

标签：RAMMNIAMNUTSRAMAomnicoinDIAMNDuts币价格

区块链热门资讯