來源:騰訊御見威脅情報中心
一、概述
騰訊安全御見威脅情報中心監測到團伙利用ApacheStruts2遠程命令執行漏洞攻擊windows服務器,從團伙使用的文件列表來看,主要通過爆破或漏洞利用進行攻擊,且針對windows服務器,已控制服務器270臺左右,被下發挖礦木馬的服務器有44臺,該團伙挖取門羅幣已賺得3.5萬元。
二、詳細分析
查看團伙HFS服務器文件列表,可以看到多個掃描爆破工具、漏洞利用工具、密碼抓取工具、遠程控制工具及端口轉發工具。
爆破掃描模塊
黑客使用1433掃描工具,配合密碼表對sqlserver服務器進行爆破:
ConsenSys推出新品牌標識,并將開啟Not Another Virtual Hackathon:6月27日消息,ConsenSys創始人Joseph Lubin在推特上宣布推出新的ConsenSys品牌標識,旨在點燃建設者(Builder)的火花。
此外,ConsenSys還發布了與YouGov一起進行的全球Web3認知調查報告。該調查就有關加密貨幣、區塊鏈和Web3的公眾輿論,對來自15個國家或地區的15,000多名受訪者進行了深入分析。其中,92% 的受訪者表示了解加密貨幣,但只有8%的人熟悉Web3的概念;82%的受訪者表示隱私對他們很重要,77%的受訪者希望更好地控制自己的在線身份,70%的受訪者希望擁有自己的數據所有權。
ConsenSys還將開啟“Not Another Virtual Hackathon”,包含了各種類型的建設者,從7月6日持續到9月6日,全程開放報名。[2023/6/27 22:03:45]
知情人士:新加坡正在加強對本國加密貨幣企業的審查:8月26日消息,據彭博社援引知情人士報道,新加坡正在加強對本國加密貨幣企業的審查。 知情人士透露,新加坡金融管理局(MAS)已向一些數字支付許可證申請人和持有人發送了一份調查問卷,以了解有關其業務活動和持股的詳細信息。他們表示。這些問卷于 7 月發出的,重點是衡量這些公司的財務穩定性及其相互關聯性。[2022/8/26 12:50:07]
3389爆破工具NLBrute1.2
S掃描器
西班牙加密交易所Bit2me正尋求吸納2gether的用戶,后者此前突然阻止用戶訪問:金色財經報道,西班牙加密貨幣交易所Bit2me正在尋求吸納另一家西班牙交易所2gether的用戶,本月早些時候,2gether封鎖了用戶對其交易平臺的訪問。Bit2me披露了一項計劃,允許2gether的用戶將資金和賬戶轉移到其平臺繼續交易。
根據Bit2me的一篇博文,Bit2me與2gether達成協議,Bit2me將為受影響的用戶支付20歐元的費用。這是因為2gether要求其用戶必須付費20歐元才能繼續使用平臺的服務。(Bitcoin.com)[2022/7/16 2:17:39]
漏洞利用模塊
ApacheStruts2遠程命令執行漏洞利用
三星與Roblox合作推出元宇宙制造收集游戲Space Tycoon:7月12日消息,據三星官方報道,該公司推出一款面向 Z 世代的元宇宙游戲 Space Tycoon,玩法是在虛擬世界里收集虛擬主題配件和虛擬電子產品。玩家們可以在虛擬世界里的礦區采集原材料,然后在實驗室區域將之組合起來打造成品。涵蓋了手機、電視、手表等小工具。此外,Space Tycoon 游戲支持韓語、英語、漢語和西班牙語等 14 種語言,還有大量附加功能,可以進行交互、參加虛擬派對等等。
據悉,這并不是三星與 Roblox 的首次合作,今年早些時候雙方曾攜手舉辦了一場 Superstar Galaxy / Charli XCX 虛擬音樂會。[2022/7/12 2:08:11]
門羅幣挖礦模塊
對服務器入侵成功后,則下發挖礦挖礦模塊2020.exe
礦池:xmr.f2pool.com:13531
錢包:
8aZSQhyDBCZokwmVd5HG5Gp7UrAeLVuVmZbKcs4rTZTx1UXGECxbePXha3qncffYYhJjG5FRGxM1scV9dbN62VCGiPdtQ
目前已經挖到90個XMR,市值約35886人民幣
端口轉發工具ok.exe被ramnit蠕蟲病感染
黑客服務器上的端口轉發工具已經被ramnit感染,入口點被修改在最后一個.text節
RamnitC2:82.112.184.197:447,45.55.36.236:447,8.7.198.46:80
去掉ramnit感染代碼后,實際上是一個端口轉發工具
所以被入侵的windows服務器也同樣會被感染Ramnit蠕蟲病。Ramnit蠕蟲病是影響Windows系統的計算機蠕蟲。Ramnit感染可移動媒體,如USB驅動器,也隱藏在主引導記錄中。主要感染.exe、.dll、.htm和.html擴展名的文件。2015年高峰時期,Ramnit曾經感染過超過300萬臺電腦。
三、同源分析
根據錢包地址進行關聯,可以關聯到F5研究團隊在去年3月公布的“CryptoSink”行動中批量的錢包一樣,當時已經挖掘到70個門羅幣,可見這次挖礦攻擊活動仍然跟“CryptoSink”關系較大。
四、安全建議
針對該黑產團伙的特點,我們建議企業用戶參考以下方法解除風險:
1、建議修改遠程桌面默認端口,或限制允許訪問的IP地址;
2、升級ApacheStruts2至最新版,以修復安全漏洞。受影響版本Struts2.3.5–Struts2.3.31,Struts2.5–Struts2.5.10;
3、修改sqlserver密碼,不要使用弱密碼,弱密碼非常容易被爆破入侵。SQL服務器被攻陷還可能導致嚴重的信息泄露風險。
IOCs
礦池:xmr.f2pool.com:13531錢包:48aZSQhyDBCZokwmVd5HG5Gp7UrAeLVuVmZbKcs4rTZTx1UXGECxbePXha3qncffYYhJjG5FRGxM1scV9dbN62VCGiPdtQ
URLhxxp://183.63.127.227:808/
MD5fabd73f8bf2bc803703778457c06893681c965ac62471ab62e85ca441d0031e6
新京報記者侯潤芳 來源:新京報 編者注:原標題為《巴曙松:Libra會使一些經濟體越來越依賴財政政策》 新京報訊在過去的2019年,數字貨幣無疑是金融領域的一大熱點.
1900/1/1 0:00:00來源?:伊特瞅見 出品:區塊鏈大本營 區塊鏈的知識為啥看了這么多還是有疑惑?一是當下已然娛樂時代,慣常用宣傳代替理論。二是大家在認知中習慣于因果的套路.
1900/1/1 0:00:00國際貨幣基金組織首席經濟學家吉塔·戈皮納斯表示,過去幾年來,數字貨幣的地位日益突出,盡管這種選擇不會使美元從其地位上退縮.
1900/1/1 0:00:001月15日,在易趣財經、一本區塊鏈、《金融理財》雜志社聯合主辦的“破界?融合區塊鏈與數字金融高峰論壇”上,中國互聯網金融協會區塊鏈工作組組長、中國銀行原行長李禮輝發表了致辭.
1900/1/1 0:00:00整理by:鐵拳無敵大興興@真本聰 來源:真本聰 對于很多加密貨幣投資者,2019是悲傷的一年,雖然這一年,不乏一些幣價亮眼的加密貨幣項目(上半年作為對沖資產的BTC,IEO引爆的平臺幣.
1900/1/1 0:00:00作者:Joyce 來源:區塊鏈前哨 近日,俄羅斯中央銀行行長ElviraNabiullina在接受媒體采訪時表示,俄羅斯央行已經開始在一個監管沙箱中測試穩定幣.
1900/1/1 0:00:00