來源:騰訊御見威脅情報中心
一、概述
騰訊安全御見威脅情報中心監測到團伙利用ApacheStruts2遠程命令執行漏洞攻擊windows服務器,從團伙使用的文件列表來看,主要通過爆破或漏洞利用進行攻擊,且針對windows服務器,已控制服務器270臺左右,被下發挖礦木馬的服務器有44臺,該團伙挖取門羅幣已賺得3.5萬元。
二、詳細分析
查看團伙HFS服務器文件列表,可以看到多個掃描爆破工具、漏洞利用工具、密碼抓取工具、遠程控制工具及端口轉發工具。
爆破掃描模塊
黑客使用1433掃描工具,配合密碼表對sqlserver服務器進行爆破:
西班牙一家國家博物館將發行以梵高杰作為特色的獨家NFT:金色財經報道,西班牙一家國家博物館將發行以梵高杰作為特色的獨家NFT,Metaverse平臺Olyverse的首席執行官Carlos Grenoir表示,這些藝術品使用區塊鏈技術轉換成高清NFT,并由國家博物館Thyssen-Bornemisza National Museum認證。[2023/7/15 10:57:00]
3389爆破工具NLBrute1.2
S掃描器
幣安將移除ALPHA/BNB、ASTR/ETH等14個現貨交易對:據官方公告,幣安將于1月6日移除14個現貨交易對并停止交易。具體安排如下,1月6日11:00將移除并停止交易ALPHA/BNB、 ASTR/ETH、 CELR/ETH、 DAR/ETH、 DOT/BIDR、 FTM/BIDR、 SAND/BIDR、 SLP/BIDR共計8個交易對,并于1月6日15:00將移除并停止交易APE/GBP、 BLZ/ETH、 CAKE/GBP、 ICX/ETH、 SHIB/GBP、 ZEN/BNB共計6個交易對。
公告稱,強烈建議用戶在以上現貨交易對策略交易停止之前調整和/或終止策略,以避免任何潛在的損失。[2023/1/4 9:51:30]
CCTV2央視財經頻道報道“FTX宣布破產”:11月14日消息,CCTV2央視財經頻道報道“加密貨幣交易平臺FTX宣布破產”,FTX在11日通過社交媒體發布公告稱,該公司和FTX集團其他附屬公司已經按照美國相關法律,啟動自愿破產程序。受此消息影響,11日比特幣和以太幣等加密貨幣價格都出現大幅下跌。FTX創立于2019年,全球用戶超過100萬,破產申請文件顯示,該公司債權人超過10萬名,負債規模在100億到500億美元之間。分析認為FTX申請破產的原因是流通性枯竭、大量客戶要求提取加密貨幣資產和競爭對手放棄收購計劃。[2022/11/14 13:00:06]
漏洞利用模塊
ApacheStruts2遠程命令執行漏洞利用
Aptos鏈上交易量突破900萬筆,市值超12.5億美元創新高:10月23日消息,Aptos Labs最新數據顯示,Aptos鏈上交易量已突破900萬筆,截至目前達到9,071,709筆,活躍質押量為822,271,445.25枚APT。
另據Coingecko數據顯示,當前Aptos(APT)市值已達到1,266,714,801美元,創歷史新高。[2022/10/23 16:36:01]
門羅幣挖礦模塊
對服務器入侵成功后,則下發挖礦挖礦模塊2020.exe
礦池:xmr.f2pool.com:13531
錢包:
8aZSQhyDBCZokwmVd5HG5Gp7UrAeLVuVmZbKcs4rTZTx1UXGECxbePXha3qncffYYhJjG5FRGxM1scV9dbN62VCGiPdtQ
目前已經挖到90個XMR,市值約35886人民幣
端口轉發工具ok.exe被ramnit蠕蟲病感染
黑客服務器上的端口轉發工具已經被ramnit感染,入口點被修改在最后一個.text節
RamnitC2:82.112.184.197:447,45.55.36.236:447,8.7.198.46:80
去掉ramnit感染代碼后,實際上是一個端口轉發工具
所以被入侵的windows服務器也同樣會被感染Ramnit蠕蟲病。Ramnit蠕蟲病是影響Windows系統的計算機蠕蟲。Ramnit感染可移動媒體,如USB驅動器,也隱藏在主引導記錄中。主要感染.exe、.dll、.htm和.html擴展名的文件。2015年高峰時期,Ramnit曾經感染過超過300萬臺電腦。
三、同源分析
根據錢包地址進行關聯,可以關聯到F5研究團隊在去年3月公布的“CryptoSink”行動中批量的錢包一樣,當時已經挖掘到70個門羅幣,可見這次挖礦攻擊活動仍然跟“CryptoSink”關系較大。
四、安全建議
針對該黑產團伙的特點,我們建議企業用戶參考以下方法解除風險:
1、建議修改遠程桌面默認端口,或限制允許訪問的IP地址;
2、升級ApacheStruts2至最新版,以修復安全漏洞。受影響版本Struts2.3.5–Struts2.3.31,Struts2.5–Struts2.5.10;
3、修改sqlserver密碼,不要使用弱密碼,弱密碼非常容易被爆破入侵。SQL服務器被攻陷還可能導致嚴重的信息泄露風險。
IOCs
礦池:xmr.f2pool.com:13531錢包:48aZSQhyDBCZokwmVd5HG5Gp7UrAeLVuVmZbKcs4rTZTx1UXGECxbePXha3qncffYYhJjG5FRGxM1scV9dbN62VCGiPdtQ
URLhxxp://183.63.127.227:808/
MD5fabd73f8bf2bc803703778457c06893681c965ac62471ab62e85ca441d0031e6
中國城市區塊鏈發展水平評估報告從政策環境、人才培養、產業基礎和資本支持四個方面,對我國45座重點城市區塊鏈產業發展水平情況進行全面、科學評估.
1900/1/1 0:00:00據外媒今日消息,加密資產管理公司Bitwise已向美國證券交易委員會撤回了一項提議,這項提議是為了在紐約證券交易所Arca上市實物支持的比特幣投資工具.
1900/1/1 0:00:00來源:《區塊鏈商業》 出品:區塊鏈大本營 商業場景應用之下的底層技術架構,大多數人是接觸不到的。但是,所有的商業應用,在區塊鏈上獲取的服務,都離不開底層技術架構的支持.
1900/1/1 0:00:00前言:之前,蜻蜓資本的研究人員發布了一篇博客《DeFi如何蠶食PoS的安全性》,闡述了高利率的DeFi借貸可能會導致PoS或DPoS區塊鏈的代幣大量解鎖,用于借貸,從而導致區塊鏈的安全性降低.
1900/1/1 0:00:00作者:?JoelJohn翻譯&校對:?閔敏?&阿劍 來源:以太坊愛好者 編者注:原標題為《引介|??DeFi中的資產合成工具:Synthetix》注:我本人與Synthetix團.
1900/1/1 0:00:00寫在前面:本文作者為LTONetwork的首席營銷官,他在文章中寫了關于加密貨幣和區塊鏈的11點大實話,比如以太坊和比特幣無可取代,根本沒人在乎隱私等等.
1900/1/1 0:00:00