以太坊價格 以太坊價格
Ctrl+D 以太坊價格
ads

RAM:黑產團伙利用Apache Struts 2漏洞及SQL爆破控制服務器挖礦

Author:

Time:1900/1/1 0:00:00

來源:騰訊御見威脅情報中心

一、概述

騰訊安全御見威脅情報中心監測到團伙利用ApacheStruts2遠程命令執行漏洞攻擊windows服務器,從團伙使用的文件列表來看,主要通過爆破或漏洞利用進行攻擊,且針對windows服務器,已控制服務器270臺左右,被下發挖礦木馬的服務器有44臺,該團伙挖取門羅幣已賺得3.5萬元。

二、詳細分析

查看團伙HFS服務器文件列表,可以看到多個掃描爆破工具、漏洞利用工具、密碼抓取工具、遠程控制工具及端口轉發工具。

爆破掃描模塊

黑客使用1433掃描工具,配合密碼表對sqlserver服務器進行爆破:

全鏈借貸協議Radiant V2將于2月21日啟動與遷移,并部署在BNB Chain上:2月15日消息,全鏈借貸協議Radiant Capital在社交平臺表示,協議代碼正在接受zokyo和派盾的最終審計。V2預計將于2月21日在Arbitrum上正式啟動并遷移,還將部署在BNB Chain上。[2023/2/15 12:07:58]

3389爆破工具NLBrute1.2

S掃描器

NearPay 推出加密虛擬卡和數字錢包:8月26日消息,NearPay推出加密虛擬卡和數字錢包。NearPay支持客戶使用信用卡購買加密產品。NearPay還發行了虛擬Visa 借記卡,使用戶可使用加密資產進行付款。該服務僅提供給歐洲經濟區(EEA)和英國的居民。[2022/8/26 12:51:07]

漏洞利用模塊

ApacheStruts2遠程命令執行漏洞利用

門羅幣挖礦模塊

對服務器入侵成功后,則下發挖礦挖礦模塊2020.exe

ADAM與ETC展開合作并成為其生態首個預言機:據官方消息,2022年8月17日,數據加密計算網絡ADAM正式官宣與ETC展開生態合作。ADAM以第一個預言機項目身份入駐ETC生態并將為其生態內優質項目提供安全、高效和精準的鏈上數據服務。

ADAM是基于Web3.0的數據加密計算網絡,擁有批量化數據加密傳輸功能,不僅能夠連接實現世界與區塊鏈系統,還能夠實現各大公鏈生態數據信息無障礙流轉;

ETC(Ethereum Classic)是原始非分支以太坊鏈的延續,并存在以保留“代碼就是法律”的原則。ETC堅信,區塊鏈一旦開始運行,它的發展方向就不被任何中心團隊所左右,而是按照參與整個網絡人員的共識和全網算力的共識所決定。[2022/8/17 12:31:03]

Bitcoin Archive:貝萊德將在比特幣領域制造一場 \"需求沖擊\":金色財經消息,Bitcoin Archive發推特稱,貝萊德將在比特幣領域中制造一場 \"需求沖擊\"。

此前報道,貝萊德推出私人信托,為美國機構客戶提供現貨比特幣風險敞口。[2022/8/15 12:25:27]

礦池:xmr.f2pool.com:13531

錢包:

8aZSQhyDBCZokwmVd5HG5Gp7UrAeLVuVmZbKcs4rTZTx1UXGECxbePXha3qncffYYhJjG5FRGxM1scV9dbN62VCGiPdtQ

目前已經挖到90個XMR,市值約35886人民幣

端口轉發工具ok.exe被ramnit蠕蟲病感染

黑客服務器上的端口轉發工具已經被ramnit感染,入口點被修改在最后一個.text節

RamnitC2:82.112.184.197:447,45.55.36.236:447,8.7.198.46:80

去掉ramnit感染代碼后,實際上是一個端口轉發工具

所以被入侵的windows服務器也同樣會被感染Ramnit蠕蟲病。Ramnit蠕蟲病是影響Windows系統的計算機蠕蟲。Ramnit感染可移動媒體,如USB驅動器,也隱藏在主引導記錄中。主要感染.exe、.dll、.htm和.html擴展名的文件。2015年高峰時期,Ramnit曾經感染過超過300萬臺電腦。

三、同源分析

根據錢包地址進行關聯,可以關聯到F5研究團隊在去年3月公布的“CryptoSink”行動中批量的錢包一樣,當時已經挖掘到70個門羅幣,可見這次挖礦攻擊活動仍然跟“CryptoSink”關系較大。

四、安全建議

針對該黑產團伙的特點,我們建議企業用戶參考以下方法解除風險:

1、建議修改遠程桌面默認端口,或限制允許訪問的IP地址;

2、升級ApacheStruts2至最新版,以修復安全漏洞。受影響版本Struts2.3.5–Struts2.3.31,Struts2.5–Struts2.5.10;

3、修改sqlserver密碼,不要使用弱密碼,弱密碼非常容易被爆破入侵。SQL服務器被攻陷還可能導致嚴重的信息泄露風險。

IOCs

礦池:xmr.f2pool.com:13531錢包:48aZSQhyDBCZokwmVd5HG5Gp7UrAeLVuVmZbKcs4rTZTx1UXGECxbePXha3qncffYYhJjG5FRGxM1scV9dbN62VCGiPdtQ

URLhxxp://183.63.127.227:808/

MD5fabd73f8bf2bc803703778457c06893681c965ac62471ab62e85ca441d0031e6

Tags:MNIRAMAMNTRUOmniunit Cash FeaturesRAM價格DIAMNDTrueFi

fil幣價格今日行情
TUB:聊聊“去中心化”應用的意義

這幾日在區塊鏈圈內最大的風波莫過于Youtube“誤刪”關于數字貨幣的視頻了。起因是12月24日至25日YouTube大量刪除了與數字貨幣相關的視頻.

1900/1/1 0:00:00
數字貨幣:解放日報評論:區塊鏈產業發展應避免“高舉高打”,生態構建可從四方面入手

來源:解放日報,原題《區塊鏈產業發展應避免“高舉高打”》 作者:韓傳峰 區塊鏈是一種弱中心化、防篡改、高度可擴展的信息技術,可以與物聯網、5G、大數據、人工智能等深度融合.

1900/1/1 0:00:00
OIN:比特幣網絡UTXO達6450萬,持續增長并創下歷史新高

據Bitcoinist1月3日報道,比特幣UTXO數持續增長并創下歷史新高。以下是對其增長的幾種解釋: UTXO增長的原因 每一筆比特幣交易會生成UTXO,從而將交易的比特幣重新分配到一個變更地.

1900/1/1 0:00:00
虛擬資產:韓國財政部:現行稅法不會征收加密貨幣交易所得稅

根據韓國財政部的最新公告,該國現行稅法不會對通過加密貨幣交易獲得的收益征稅。韓國財政和戰略部最近解答了關于加密貨幣交易收益征稅的困惑。根據財政部的公告,現行稅法不支持對加密貨幣收益征稅.

1900/1/1 0:00:00
虛擬幣:新京報評論:擠壓虛擬貨幣交易所泡沫,監管要從快從重

作者:楚天 來源:新京報 編者注:原標題為《擠壓虛擬貨幣交易所泡沫,監管要從快從重》虛擬貨幣交易所的建設成本極低,只要有一部分用戶受其蠱惑而入局,割韭菜游戲就可以進行,從中獲取暴利.

1900/1/1 0:00:00
APP:區塊鏈在數字政務領域的應用方向研究:契機及挑戰

來源:人民郵電報 編者注:原標題為《區塊鏈在數字政務領域的應用方向研究》數字中國是一個包括數字經濟、數字政府、數字社會“三位一體”的綜合體系.

1900/1/1 0:00:00
ads