Luoxk挖礦病毒肆意橫行,感染規模逐擴大區塊鏈
黑客利用甲骨文公司的補丁漏洞進行挖礦
最新消息:
安全公司:黑客利用甲骨文公司的補丁漏洞進行挖礦。甲骨文公司在官方發布的例行補丁更新中修復了CVE-2018-2893(一個遠程代碼執行漏洞)。21日起,一個黑客團伙luoxk開始利用該漏洞進行挖礦。從對其域名luoxkexp[.]com的訪問情況來看,用戶感染規模已經比較大。該團伙曾通過另外一個XRM錢包地址挖到了約195枚XMR,并進行過RAT遠程控制、安卓惡意代碼、利用RMI服務傳播的蠕蟲等攻擊行為。
具體:
在收到消息后,我們回想起在7月18日,Oracle在官方發布的例行補丁更新中修復了CVE-2018-2893,一個Oracle WebLogic Server 遠程代碼執行漏洞。
三天后,2018-07-21 11:24:31 開始,我們注意到一個長久以來我們跟蹤的惡意代碼團伙正在積極利用該漏洞傳播自身。
據說該團伙經常使用 luoxkexp[.]com ,所以被命名為luoxk 。
該惡意代碼團伙曾在2017年3月17日犯案,在國內某個安全團隊的DNSMon系統里,在該惡意代碼團伙域名注冊后的第二天根據算法自動判斷該域名異常。
該惡意代碼團伙的主要行為,包括:
1、DDoS攻擊:使用DSL4(Nitol)惡意代碼,對應的C2 luoxkexp.com
2、挖礦使用的錢包地址是:48WDQHCe5aRDeHv1DkkdwQiPRQSqYw2DqEic7MZ47iJVVTeQ1aknDULfKj6qqLu6hy6xRZJu4BgYziSMbfzCGnqc54VekKH,不過目前收益并不高,pool.minexmr.com給付的門羅幣(XMR)只有 2.746605935
下面是Botnet跟蹤系統看到的最早的DDoS攻擊指令,發生于 2017-06-11,受害者是 116.211.167.112。
2017-06-11 22:39:29 dsl4 luoxkexp.com 192.225.225.154 2015 ddos tcp_flood 116.211.167.112 15010 tcp_flood, target=116.211.167.112, port=15010, attack_time=20m, threads=30, type=22
luoxk 團伙近期利用 CVE-2018-2893 挖礦
21日起,luoxk 團伙開始利用僅發布了 3 天的CVE-2018-2893。漏洞利用主要通過下面這個文件實現
通過對該jar包反編譯,可以注意到有以下關鍵代碼
會從服務器上繼續下載以下內容:
礦機運行配置來自上述 ver1.txt,如下
值得一提的是,該惡意團伙會禁止部分IP地址的訪問。某些URL在一段時間后就不能從特定IP地址訪問了。
感染規模
從域名 luoxkexp[.]com 的訪問情況看,單日DNS訪問次數峰值超過300k,感染規模已經比較大。
并非結束
該團伙歷史上使用過另外一個XRM錢包地址,在那個錢包里已經挖到了 195.625363870000 XMR:
該惡意團伙的工作范圍非常廣泛,除了本文已經介紹的內容以外,至少還包括:
RAT遠程控制 :使用了 Gh0st 家族惡意代碼
alipay:看到代碼中包含了支付寶紅包推廣的行為,這可能意味著攻擊者可以通過推廣拿到提成
安卓惡意代碼
利用RMI服務傳播的蠕蟲
1.TMT觀察網遵循行業規范,任何轉載的稿件都會明確標注作者和來源;
2.TMT觀察網的原創文章,請轉載時務必注明文章作者和"來源:TMT觀察網",不尊重原創的行為TMT觀察網或將追究責任;
3.作者投稿可能會經TMT觀察網編輯修改或補充。
