買以太坊 買以太坊
Ctrl+D 買以太坊
ads

AMN:黑產團伙利用Apache Struts 2漏洞及SQL爆破控制服務器挖礦_Signal Token

Author:

Time:1900/1/1 0:00:00

來源:騰訊御見威脅情報中心

一、概述

騰訊安全御見威脅情報中心監測到團伙利用ApacheStruts2遠程命令執行漏洞攻擊windows服務器,從團伙使用的文件列表來看,主要通過爆破或漏洞利用進行攻擊,且針對windows服務器,已控制服務器270臺左右,被下發挖礦木馬的服務器有44臺,該團伙挖取門羅幣已賺得3.5萬元。

二、詳細分析

查看團伙HFS服務器文件列表,可以看到多個掃描爆破工具、漏洞利用工具、密碼抓取工具、遠程控制工具及端口轉發工具。

爆破掃描模塊

黑客使用1433掃描工具,配合密碼表對sqlserver服務器進行爆破:

Signature高管:加密友好型銀行狀況良好:金色財經報道,Signature銀行的兩位高管周二重申,Signature不需要被關閉。Signature聯合創始人、該銀行前董事長Scott Shay表示,盡管SVB倒閉后有160億美元的客戶提款,Signature還是準備繼續前進。 我相信Signature銀行能夠承受住那天發生的經濟地震。該銀行的資本充足,有償付能力。

Signature前總裁Eric Howell對簽名銀行可以繼續下去的信念表示贊同,他說貸款人 \"資本充足,有償付能力,并有足夠的借款能力來承受這些和未來的提款\"。

紐約金融服務部(DFS)已經否認Signature關閉與加密貨幣無關的說法。[2023/5/17 15:07:03]

渣打銀行子公司Zodia Custody完成3600萬美元A輪融資:金色財經報道,渣打銀行子公司、加密貨幣托管機構Zodia Custody完成3600萬美元A輪融資,日本SBI公司領投,并成為第二大股東,所籌資金將用于在歐洲和亞洲市場之外進行地域擴張,還將用于增加更多數字資產,包括抵押的ETH。[2023/4/27 14:29:44]

3389爆破工具NLBrute1.2

S掃描器

漏洞利用模塊

法國興業銀行從MakerDAO金庫中提取700萬美元的DAI:1月13日消息,法國銀行業巨頭興業銀行首次使用MakerDAO金庫提取了價值700萬美元的MakerDAO穩定幣DAI。MakerDAO代表和加密研究員Mika Honkasalo表示,法國銀行業數字資產子公司Forge首次取款的過程非常緩慢,但他預計該銀行將“很快”提取其最高3000萬美元的DAI。Honkasalo補充道:“我不確定他們為什么花了這么長時間才使用金庫,但我對這些現實世界資產的經驗是,每件事都需要很長時間。”

金色財經此前報道,MakerDAO在一致投票后將Forge添加到其金庫中,DAI的信用額度為3000萬美元。該金庫由4000萬歐元的“OFH代幣”形式的債券支持,使貸款被超額抵押。[2023/1/13 11:09:41]

ApacheStruts2遠程命令執行漏洞利用

Cion Digita任命Sundar Nagarathnam為首席運營官:金色財經報道,加密基礎設施初創公司Cion Digital 今天宣布任命高級執行官 Sundar Nagarathnam 為首席運營官 (COO)。Cion Digital創始人兼首席執行官Snehal Fulzele 表示,Sundar 在推動各個領域的創新和轉型方面取得了可衡量的成果,這是不言而喻的,我很高興歡迎他加入團隊。隨著我們擴展到不同的行業和市場,他深入的知識和專業知識將在確保順利、無縫的客戶入職和卓越運營方面發揮關鍵作用。[2022/6/25 1:30:39]

門羅幣挖礦模塊

對服務器入侵成功后,則下發挖礦挖礦模塊2020.exe

礦池:xmr.f2pool.com:13531

錢包:

8aZSQhyDBCZokwmVd5HG5Gp7UrAeLVuVmZbKcs4rTZTx1UXGECxbePXha3qncffYYhJjG5FRGxM1scV9dbN62VCGiPdtQ

目前已經挖到90個XMR,市值約35886人民幣

端口轉發工具ok.exe被ramnit蠕蟲病感染

黑客服務器上的端口轉發工具已經被ramnit感染,入口點被修改在最后一個.text節

RamnitC2:82.112.184.197:447,45.55.36.236:447,8.7.198.46:80

去掉ramnit感染代碼后,實際上是一個端口轉發工具

所以被入侵的windows服務器也同樣會被感染Ramnit蠕蟲病。Ramnit蠕蟲病是影響Windows系統的計算機蠕蟲。Ramnit感染可移動媒體,如USB驅動器,也隱藏在主引導記錄中。主要感染.exe、.dll、.htm和.html擴展名的文件。2015年高峰時期,Ramnit曾經感染過超過300萬臺電腦。

三、同源分析

根據錢包地址進行關聯,可以關聯到F5研究團隊在去年3月公布的“CryptoSink”行動中批量的錢包一樣,當時已經挖掘到70個門羅幣,可見這次挖礦攻擊活動仍然跟“CryptoSink”關系較大。

四、安全建議

針對該黑產團伙的特點,我們建議企業用戶參考以下方法解除風險:

1、建議修改遠程桌面默認端口,或限制允許訪問的IP地址;

2、升級ApacheStruts2至最新版,以修復安全漏洞。受影響版本Struts2.3.5–Struts2.3.31,Struts2.5–Struts2.5.10;

3、修改sqlserver密碼,不要使用弱密碼,弱密碼非常容易被爆破入侵。SQL服務器被攻陷還可能導致嚴重的信息泄露風險。

IOCs

礦池:xmr.f2pool.com:13531錢包:48aZSQhyDBCZokwmVd5HG5Gp7UrAeLVuVmZbKcs4rTZTx1UXGECxbePXha3qncffYYhJjG5FRGxM1scV9dbN62VCGiPdtQ

URLhxxp://183.63.127.227:808/

MD5fabd73f8bf2bc803703778457c06893681c965ac62471ab62e85ca441d0031e6

Tags:SIGIGNAMNTURunsigSignal TokenDAMN TokenTurtle Racing

比特幣價格
BTC:分析 | “海膽”項目——巴哈馬央行的數字貨幣_CBD

關鍵詞:央行數字貨幣海膽項目海膽項目是2019年3月巴哈馬央行開始啟動的央行數字貨幣項目。順便說一下:Sanddollar,不少翻譯或者撰寫文章稱為沙元、沙美元,有望文生義之謬,應為海膽.

1900/1/1 0:00:00
KEN:為什么非同質代幣還沒有機會在加密世界爆發?_Boulpik Token

作者:陸遙遠 來源:老陸的區塊鏈筆記 前言:2019就快要結束了,今年比較有名的區塊鏈游戲大多是TCG類(GodsUnchainedCards),這些游戲比之前的游戲吸引了更多關注且更加精美.

1900/1/1 0:00:00
加密貨幣:加密量化交易平臺提供商AlgoTrader AG完成380萬美元A輪融資_BeforeCoinMarketCap

瑞士自動算法交易平臺提供商AlgoTraderAG周三宣布結束其A輪融資,獲得370萬瑞士法郎.

1900/1/1 0:00:00
DOS:數字貨幣試點有望落地深圳,將進入交通、教育、醫療等服務場景_數字貨幣交易員招聘騙局

深圳商報記者謝惠茜 來源:深圳商報 編者注:原標題為《?數字貨幣試點有望落地深圳》“深圳在兩個領域尤為突出,一是在跨境金融領域,有諸多先行先試政策.

1900/1/1 0:00:00
COS:200萬美元用戶資金被鎖定,這家交易所突然說要升級_COSMIK幣

在沒有任何事先通知的情況下,新加坡加密貨幣交易所COSS今天宣布,將把大約20萬名客戶的資金鎖定一個月.

1900/1/1 0:00:00
比特幣:俄羅斯官員:加密貨幣法案預計今年春天通過,將對數字資產進行定義_數字貨幣被騙最好的解決辦法

一位官員認為,俄羅斯國家杜馬可能在春季會議上通過有關數字金融資產的法案。雖然俄羅斯在最近的《數字權利法案》中對智能合約進行了定義,但目前在俄羅斯,相關公司還不能合法地進行資產代幣化.

1900/1/1 0:00:00
ads