思科:疑似中国×××团伙利用加密货币挖掘恶意软件非法获利
摘要
加密貨幣挖掘惡意軟件正在日益成為威脅領域里一個所占比重越來越大的組成部分。這些惡意的開采者能夠竊取受×××設備的CPU周期以挖掘加密貨幣,并為×××者帶來非法收益。
思科Talos團隊在最新發表的一篇博文中分析了一個據稱非常值得關注的×××團伙——Rocke。接下來,我們將為大家介紹幾起由Rocke實施的×××活動、以及在這些活動中使用的惡意軟件和基礎設施,同時揭露更多有關該組織的細節。經過幾個月的研究,Talos團隊認為Rocke是一個必須被追蹤的×××團伙,因為他們仍在繼續為自己的惡意軟件添加新的功能,并積極探索新的感染媒介。
引言
在此之前,Talos團隊已經發表過很多有關加密貨幣挖掘惡意軟件的文章,其中包括企業應該如何保護自己的系統免受此類威脅的建議。Talos團隊在這篇最新發表的博文中也表示,他們一直在積極研究加密貨幣挖掘惡意軟件的發展,包括監測犯罪論壇以及部署蜜罐系統來捕獲此類威脅。正是通過這些情報來源,他們才得以發現被他們命名為“Rocke”的×××團伙。
Rocke在積極參與分發和執行加密貨幣挖掘惡意軟件的過程中使用了不同的工具包,這涉及到Git存儲庫、Http File Server(HFS),以及各種各樣的有效載荷(payload),如shell腳本、JavaScript后門,以及ELF和PE挖礦程序。
早期活動
該組織最初是在2018年4月引起了Talos團隊的注意,它在當時利用了西方國家和中國的Git存儲庫來向受Apache Struts漏洞影響的系統發送惡意軟件(其中一些被Talos團隊部署的蜜罐系統捕獲到)。
有多個文件被下載到了Talos團隊的Struts2蜜罐,它們來自中國代碼托管平臺gitee.com,是由一個名為“c-999”的用戶上傳的。幾乎在同一時間,Talos團隊還觀察到了類似的活動,文件來自gitlab.com存儲庫,是由一個名為“c-18”的用戶上傳的。
值得注意的是,在Gitee和GitLab上的儲存庫完全相同。這兩個存儲庫都有一個名為“ss”的文件夾,其中包含有16個文件。這些文件各種各樣,包括ELF可執行程序、shell腳本和文本文件,它們能夠執行各種操作,包括實現持久性以及執行非法的挖礦程序。
一旦×××者攻破了一個系統,他們就會通過配置一個定時任務(cron job)來在設備上實現持久性,并從“3389[.]space”下載并執行一個名為“logo.jpg”的文件。這個文件實際上是一個shell腳本,它反過來會從×××者的Git存儲庫下載挖礦程序的可執行文件,并將它們以文件名“java”進行保存。至于下載的確切文件,這取決于受害者的系統架構。類似地,是使用“h32”還是“h64”來調用“java”,也取決于系統架構。
雖然Talos團隊最初觀察到這個×××團伙利用的是Apache Struts漏洞,但他們也觀察到它利用了Oracle WebLogic服務器漏洞(CVE-2017-10271),以及CVE-2017-3066,這是Adobe ColdFusion平臺中一個Java反序列化漏洞。
近期活動
在7月下旬,Talos團隊意識到該組織參與了另一起類似的活動。通過對這起新活動的調查,Talos團隊發現了更多有關該組織的細節。
Talos團隊從部署的Struts2蜜罐中觀察到了一個wget請求,該請求來自一個名為“0720.bin”的文件,位于118[.]24[.]150[.]172:10555。Talos團隊訪問了這個IP,發現它是一個開放的HFS文件共享服務器。除了“0720.bin”之外,它還托管著另外10個文件:“3307.bin”、“a7”、“bashf”、“ashg”、“config.json”、“lowerv2.sh”、“pools.txt”、“r88.sh”、“rootv2.sh”和“TermsHost.exe”。于是,Talos團隊開始了對這些文件的研究。
HFS文件共享服務器的屏幕截圖
Talos團隊之前曾在2018年5月觀察到過相同的IP掃描(針對TCP端口7001)。這很可能是對Oracle WebLogic服務器的掃描,因為它默認監聽TCP端口7001。
“0720.bin”和“3307.bin”是相似的ELF文件,包括大小也一樣(84.19KB),連接到118[.]24[.]150[.]172。在被發現的時候,被VirusTotal標記為無害文件。Morpheus Labs在其報告中也描述了一個類似的文件,該文件連接到相同的IP地址,如果C2發出了一個經過密碼驗證的指令,那么它就可以在受害者的主機上打開一個shell。在Talos團隊捕獲的兩個樣本以及Morpheus Labs所描述的樣本中,硬編碼的密碼不僅相同,而且位于相同的偏移地址。
“a7”是一個shell腳本,可以殺死其他與加密貨幣挖掘惡意軟件相關的各種進程(包括那么名稱與流行的加密貨幣挖掘惡意軟件匹配的進程,如“cranberry”、“yam”或“kworker”),以及普遍存在的挖礦程序(例如“minerd”和“cryptonight”)。另外,它可以檢測并卸載各種中文殺毒軟件,并從blog[.]sydwzl[.]cn下載并提取一個tar.gz文件,該文件也解析為118[.]24[.]150[.]172。
此外,“a7”還會從GitHub下載一個名為“libprocesshider”的文件,該文件使用ID預加載器隱藏了一個名為“x7”的文件。不僅如此,“a7”還會在known_hosts中查找IP地址并嘗試通過SSH登錄它們,然后從×××者的HFS文件共享服務器(118[.]24[.]150[.]172)下載自身副本(“a7”),然后執行它。
“a7”源代碼的摘錄
“config.json”是XMRig的配置文件,XMRig是一個開源的門羅幣挖礦程序。該文件將采礦池設置為xmr[.]pool[.]MinerGate[.]com:45700,錢包為rocke@live.cn(×××者的錢包)。這也就是為什么Talos團隊將該組織命名為“Rocke”的原因(請注意,對于MinerGate而言,可以使用電子郵箱地址來代替門羅幣錢包號碼)。“pools.txt”似乎是XMR-stak的配置文件,XMR-stak是一個開源的Stratum礦池挖礦程序,可以挖掘門羅幣、Aeon幣等。這個配置文件包含了與第一個配置文件(“config.json”)相同的采礦池和錢包信息。
“bashf”是XMR-stak的一個變種,而“bashg”是XMRig的一個變種。
“lowerv2.sh”和“rootv2.sh”是相似的shell腳本,它們試圖下載并執行加密貨幣挖掘惡意軟件組件“bashf”和“bashg”。其中,“bashf”是XMR-stak的一個變種,而“bashg”是XMRig的一個變種,它們都托管在118[.]24[.]150[.]172上。如果shell腳本沒有從118[.]24[.]150[.]172下載一個挖礦程序,“lowerv2.sh”和“rootv2.sh”則會嘗試從3g2upl4pq6kufc4m[.]tk下載一個名為“XbashY”的文件。
“R88.sh”也是一個shell腳本,用于配置定時任務(cron job)并嘗試下載“lowerv2.sh”或“rootv2.sh”。
“TermsHost.exe”是一個PE32 門羅幣挖礦程序。從它使用的配置文件來看,它似乎是Monero Silent Miner。這個挖礦程序可以以14美元的價格在網上購買到,其廣告將它宣傳為可以通過啟動注冊表來實現持久性、只在空閑時進行挖礦操作,并且能夠將挖掘工具注入到“繞過防火墻的Windows進程”中。
“TermsHost.exe”能夠從sydwzl[.]cn上托管的命令和控制(C2)服務器獲取配置文件“xmr.txt”,其中包含與上述文件(“config.json”和“pools.txt”)相同的配置信息。接下來,它會將代碼注入到notepad.exe中,然后繼續與MinerGate礦池進行通信。另外,“TermsHost.exe”還會在Windows開始菜單文件夾中創建使用UPX打包的文件“dDNLQrsBUE.url”。有趣的是,這個文件似乎與流行的×××測試軟件Cobalt Strike有一些相似之處,后者允許×××者對受感染系統擁有更全面的控制。
從網絡安全公司Intezer在5月份的發布的報告來看,?這個payload似乎與網絡犯罪組織Iron使用的payload十分相似。Iron和Rocke的惡意軟件有著相似的行為,并且連接到相似的基礎設施。因此,Talos團隊表示他們可以非常肯定這些payload共享了一些代碼庫。不過,目前仍然無法確定Rocke和Iron之間的確切關系。
×××團伙的身份
得益于Rocke的MinerGate門羅幣錢包電子郵箱地址rocke@live.cn,Talos團隊能夠發現更多有關這個×××團伙的細節。Talos團隊注意到,Rocke的C2已注冊到jxci@vip.qq.com。隨后,Talos團隊從中國安全網站FreeBuf?泄露的用戶信息中發現一個名為“rocke”的用戶與電子郵箱地址jxci@vip.qq.com存在關聯,這表明他們很可能是同一伙人。
Talos團隊還觀察到,Rocke一直試圖通過訪問云存儲服務來獲取EasyLanguage中文編程手冊。
大多數注冊到Rocke的網站都顯示為江西省的注冊地址。其中一些網站屬于江西省的企業,例如belesu[.]com,它就屬于一家銷售嬰兒食品的公司。Talos團隊表示,他們還有更多的證據可以用來證明Rocke來自江西,基于他們的GitHub頁面所記錄的信息。另外,jxci@vip.qq.com中的“jx”也可能指的是江西。
結論
根據Rocke在過去幾個月里所開展的活動,Talos團隊預計該團伙將繼續利用Git存儲庫下載并在受感染設備上執行非法挖掘操作。值得注意的是,該團伙目前仍在繼續擴展他們的工具集,包括基于瀏覽器的挖礦程序、難以檢測的×××以及Cobalt Strike的惡意版本。除了IP掃描和漏洞利用之外,看起來Rocke似乎將要使用社會工程作為一種新的感染媒介,這一點可以從其存儲庫中發現的虛假Adobe Flash和Google Chrome更新得到證實。
盡管從目前來看,大多數加密貨幣的價值都存在很大的波動,但非法加密貨幣挖掘活動的趨勢并沒有因此顯現出減弱的跡象。通過Rocke所開展的幾起活動我們也可以看出,犯罪分子仍在設法利用各種可能的感染媒介來部署各種各樣的加密貨幣挖掘惡意軟件,以賺取盡可能多的非法收益。
轉載于:https://blog.51cto.com/13520190/2169623
總結
以上是生活随笔為你收集整理的思科:疑似中国×××团伙利用加密货币挖掘恶意软件非法获利的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: android:一卡通系统,基于Andr
- 下一篇: 苹果6s手机怎么录屏 苹果手机投屏电脑