黑产团伙利用Apache Struts 2漏洞及SQL爆破控制服务器挖矿

来源：腾讯御见威胁情报中心

一、概述

腾讯安全御见威胁情报中心监测到团伙利用ApacheStruts2远程命令执行漏洞攻击windows服务器，从团伙使用的文件列表来看，主要通过爆破或漏洞利用进行攻击，且针对windows服务器，已控制服务器270台左右，被下发挖矿木马的服务器有44台，该团伙挖取门罗币已赚得3.5万元。

二、详细分析

查看团伙HFS服务器文件列表，可以看到多个扫描爆破工具、漏洞利用工具、密码抓取工具、远程控制工具及端口转发工具。

爆破扫描模块

黑客使用1433扫描工具，配合密码表对sqlserver服务器进行爆破：

鲍威尔：我们正在关注加密货币领域:金色财经报道，美联储主席鲍威尔表示，我们正在关注加密货币领域，因为这一领域波动很大。我们在加密领域看到了相当多欺诈行为和风险存在。[2023/3/8 12:48:12]

3389爆破工具NLBrute1.2

S扫描器

Gemini联创再次发推确认DCG欠款一事，督促DCG于1月8日偿付11亿美元期票:1月3日消息，针对灰度集团母公司DCG创始人Barry Silbert回应称“未从Genesis处借款16.75亿美元或拖欠利息”一事，Gemini 联合创始人Cameron Winklevoss再度发推表示：“你又来了，别再假装你和DCG是无辜的旁观者，没有参与到制造这场混乱中。这太虚伪了。如果DCG没有借钱，怎么会拖欠Genesis 16.75亿美元？还有那张期票，你愿不愿意承诺在1月8日到期时偿付？”[2023/1/3 22:22:11]

漏洞利用模块

ApacheStruts2远程命令执行漏洞利用

加密财务应用Companion.to将于本月推出BETA版本:金色财经消息，加密财务应用Companion.to将于本月推出BETA版本，用户可以从AppStore或GooglePlay下载，此外将与Solana链上流动性协议Cropper的IDO合作推迟至10月。[2022/8/30 12:57:42]

门罗币挖矿模块

对服务器入侵成功后，则下发挖矿挖矿模块2020.exe

Roger Ver：有关拖欠贷款的传言是错误的，是对方拖欠债务:金色财经报道，针对CoinFLEX首席执行官Mark Lamb指控Roger Ver拖欠其公司价值4700万美元的USDC贷款，Ver在Twitter回应称，最近有传言说我拖欠了对方的债务，这些谣言是假的。我不仅没有欠这个对手方的债务，而且这个对手方欠我一大笔钱，我目前正在寻求归还我的资金。

上周，CoinFLEX暂停了所有用户提款，理由是市场状况和“涉及交易对手的持续不确定性”。本周一，CoinFLEX宣布将推出发行名为Recovery Value USD(rvUSD)的新代币筹集4700万美元，这与Lamb声称Ver所欠的金额相同。[2022/6/29 1:38:01]

矿池：xmr.f2pool.com:13531

钱包：

8aZSQhyDBCZokwmVd5HG5Gp7UrAeLVuVmZbKcs4rTZTx1UXGECxbePXha3qncffYYhJjG5FRGxM1scV9dbN62VCGiPdtQ

遗嘱和遗产服务公司Willed完成600万美元融资，将拓展加密货币业务:金色财经报道，遗嘱和遗产服务公司Willed宣布完成600万美元新一轮融资，Thorney Investment Group、Ellerston Capital、PSC Insurance创始人Paul Dwyer和Bell Potter的Hugh Robertson参投，该公司宣布将利用这笔最新融资扩大加密货币处理服务。随着加密货币的普及，加密货币等虚拟财产已成90后和00后遗嘱必选项，较为常见的有网络平台理财、游戏装备、虚拟货币等。[2022/6/14 4:25:50]

目前已经挖到90个XMR，市值约35886人民币

端口转发工具ok.exe被ramnit蠕虫病感染

黑客服务器上的端口转发工具已经被ramnit感染，入口点被修改在最后一个.text节

RamnitC2:82.112.184.197:447，45.55.36.236:447，8.7.198.46:80

去掉ramnit感染代码后，实际上是一个端口转发工具

所以被入侵的windows服务器也同样会被感染Ramnit蠕虫病。Ramnit蠕虫病是影响Windows系统的计算机蠕虫。Ramnit感染可移动媒体，如USB驱动器，也隐藏在主引导记录中。主要感染.exe、.dll、.htm和.html扩展名的文件。2015年高峰时期，Ramnit曾经感染过超过300万台电脑。

三、同源分析

根据钱包地址进行关联，可以关联到F5研究团队在去年3月公布的“CryptoSink”行动中批量的钱包一样，当时已经挖掘到70个门罗币，可见这次挖矿攻击活动仍然跟“CryptoSink”关系较大。

四、安全建议

针对该黑产团伙的特点，我们建议企业用户参考以下方法解除风险：

1、建议修改远程桌面默认端口，或限制允许访问的IP地址；

2、升级ApacheStruts2至最新版，以修复安全漏洞。受影响版本Struts2.3.5–Struts2.3.31，Struts2.5–Struts2.5.10；

3、修改sqlserver密码，不要使用弱密码，弱密码非常容易被爆破入侵。SQL服务器被攻陷还可能导致严重的信息泄露风险。

IOCs

矿池：xmr.f2pool.com:13531钱包：48aZSQhyDBCZokwmVd5HG5Gp7UrAeLVuVmZbKcs4rTZTx1UXGECxbePXha3qncffYYhJjG5FRGxM1scV9dbN62VCGiPdtQ

URLhxxp://183.63.127.227:808/

MD5fabd73f8bf2bc803703778457c06893681c965ac62471ab62e85ca441d0031e6

标签：RAMAMNMNIUTSStarlink ProgramSTREAMNOmniseaNUTS Gaming

Luna热门资讯