欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

活跃在挖矿一线、简单却贪婪的“Panda”组织

来源:本站整理 作者:佚名 时间:2019-09-23 TAG: 我要投稿

2018年中旬,Talos安全团队在“MassMiner”挖矿活动(MassMiner是一个挖矿恶意软件家族,通过大量不同的漏洞进行传播,还暴力攻击Microsoft SQL Server)中注意到一个名为“Panda”的新威胁团伙。
“Panda”所使用的技术工具并不复杂,无外乎是远程访问工具(RAT)和非法挖矿软件,却是我们看到的最活跃的攻击者之一,迄今为止已经创造了价值数十万美元的加密货币,另外值得注意的是他们的行为——在全球范围内持续利用着易受攻击的web应用程序,而遍历网络的工具和对RAT的使用,也意味着全世界的组织都面临着将其系统资源滥用于挖矿的风险,甚至更糟,比如泄露价值信息等。
Panda经常更新他们的基础设施、漏洞利用和payload,影响范围包括银行、医疗保健、交通、电信和IT服务等行业的组织机构。

首次发现“Panda”
2018年7月,我们首次观察到了“Panda”威胁组织,其攻击流程是先使用massscan寻找各种易受攻击的服务器,然后利用几种不同的漏洞,比如WebLogic漏洞(CVE-2017-10271)和Apache Struts 2中的远程代码执行漏洞(CVE-2017-5638),通过PowerShell post-exploit下载名为“downloader.exe”的挖矿软件payload,并将其以简单的数字命名(例如“13.exe”)保存在TEMP文件夹中,之后再执行。我们观测到的样本是通过通过端口57890从list[.]idc3389[.]top或kingminer[.]club.中下载配置文件的,配置文件里指定了要使用的门罗币钱包及矿池。截止目前,我们预估Panda从中获取的利润,按当前美元来算的话应该有十万。

到了2018年10月,list[.]idc3389[.]top上的配置文件的下载量已经超过30万次。

样本同时还会安装Gh0st RAT,它与rat[.]kingminer[.]club进行通信。在另外一些变体中,我们还观察到一些其他的黑客工具和漏洞利用的植入,包括凭证盗窃工具Mimikatz和方程式组织(Equation Group)的UPX加壳工具。样本还会通过端口445到172.105.X.X块中的IP地址扫描开放的SMB端口。
idc3389[.]top是Panda的C2域之一,由一位说中文的参与人注册,他的名字正是“Panda”。
与Bulehero的联系
首次发现Panda攻击的同一时间,在另一个C2域bulehero [.] in中我们观察到非常相似的TTP。攻击者使用PowerShell从b[.]bulehero[.]in中下载名为“download.exe”的文件,同样将其保存为以简单数字命名的文件(如“13.exe”)并执行。

在沙箱环境中,我们观察了几个将它关联到早期MassMiner活动的特征。首先,它通过先前观察到的端口57890,GET请求一个名为cfg.ini的文件,该文件托管在bulehero[.]in的一个子域上:c[.]bulehero[.]in。与MassMiner一致,配置文件指定原始样本所来自的站点,以及用于采矿的钱包和矿池。
此外,样本会试图使用诸如“cmd / c net stop MpsSvc”之类的命令关闭受害者的防火墙。恶意软件还会修改访问控制列表,通过运行cacsl.exe授予某些文件的完全访问权限。
例如:
cmd / c schtasks / create / sc minute / mo 1 / tn“Netframework”/ ru system / tr“cmd / c echo Y | cacls C:Windowsappveif.exe / p everyone:F
而在先前的MassMiner感染中也观察到这两种行为。
样本还会向ip138 [.] com发出GET请求名为ic.asp的资源,此ip地理定位为中文,该资源以中文的形式提供机器的IP地址和位置,而在MassMiner活动中也观察到了此行为。
此外,appveif.exe会在系统目录中创建许多文件,其中许多文件被多个AV引擎确定为恶意文件,并且似乎与MassMiner活动中的漏洞利用相匹配。例如我们检测到几个工具都与“Shadow Brokers”组织的漏洞利用相关,而且这些文件都安装在一个具有可疑名称的目录中:“WindowsInfusedAppeEternalblue139specials”。
“Panda”的进化
在2019年1月,Talos观察到Panda利用ThinkPHP网络框架中最新披露的一个漏洞(CNVD-2018-24942)来传播类似的恶意软件。
ThinkPHP是一个在中国流行的开源Web框架,利用此漏洞,可直接从a46[.]bulehero[.]in中下载“download.exe”。Panda还将一个简单的PHP Web shell上传到路径“/public/hydra.php”,用于调用PowerShell来下载相同的可执行文件。web shell仅提供了通过对“/public/hydra.php”HTTP请求中的URL参数调用任意系统命令的能力。Download.exe将下载非法挖矿软件payload,并有SMB扫描的行为,这是Panda横向移动的证明。
2019年3月,Panda更换了新的基础设施,包括域hognoob[.]se的各个子域。当时托管初始payload的域fid[.]hognoob[.]se,解析为IP地址195[.]128[.]126[.]241,也与bulehero[.]in的几个子域相关联。
3月时Panda的TTP与之前的相似。漏洞利用后,Panda调用PowerShell从URL hxxp://fid[.]hognoob[.]se/download.exe下载名为“download.exe”的可执行文件,并将其保存在Temp文件夹中,不过文件名相较之前要变得复杂许多,如“autzipmfvidixxr7407.exe”;之后此文件再从fid[.]hognoob[.]se下载名为“wercplshost.exe”的挖矿木马和从uio[.]hognoob[.]se下载配置文件“cfg.ini”。

[1] [2] [3]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载