摘要

加密货币挖掘恶意软件正在日益成为威胁领域里一个所占比重越来越大的组成部分。这些恶意的开采者能够窃取受攻击设备的CPU周期以挖掘加密货币，并为攻击者带来非法收益。 [出自:jiwo.org]

思科Talos团队在最新发表的一篇博文中分析了一个据称非常值得关注的黑客团伙——Rocke。接下来，我们将为大家介绍几起由Rocke实施的攻击活动、以及在这些活动中使用的恶意软件和基础设施，同时揭露更多有关该组织的细节。经过几个月的研究，Talos团队认为Rocke是一个必须被追踪的黑客团伙，因为他们仍在继续为自己的恶意软件添加新的功能，并积极探索新的感染媒介。

引言

在此之前，Talos团队已经发表过很多有关加密货币挖掘恶意软件的文章，其中包括企业应该如何保护自己的系统免受此类威胁的建议。Talos团队在这篇最新发表的博文中也表示，他们一直在积极研究加密货币挖掘恶意软件的发展，包括监测犯罪论坛以及部署蜜罐系统来捕获此类威胁。正是通过这些情报来源，他们才得以发现被他们命名为“Rocke”的黑客团伙。

Rocke在积极参与分发和执行加密货币挖掘恶意软件的过程中使用了不同的工具包，这涉及到Git存储库、Http File Server（HFS），以及各种各样的有效载荷（payload），如shell脚本、JavaScript后门，以及ELF和PE挖矿程序。

早期活动

该组织最初是在2018年4月引起了Talos团队的注意，它在当时利用了西方国家和中国的Git存储库来向受Apache Struts漏洞影响的系统发送恶意软件（其中一些被Talos团队部署的蜜罐系统捕获到）。

有多个文件被下载到了Talos团队的Struts2蜜罐，它们来自中国代码托管平台gitee.com，是由一个名为“c-999”的用户上传的。几乎在同一时间，Talos团队还观察到了类似的活动，文件来自gitlab.com存储库，是由一个名为“c-18”的用户上传的。

值得注意的是，在Gitee和GitLab上的储存库完全相同。这两个存储库都有一个名为“ss”的文件夹，其中包含有16个文件。这些文件各种各样，包括ELF可执行程序、shell脚本和文本文件，它们能够执行各种操作，包括实现持久性以及执行非法的挖矿程序。

一旦攻击者攻破了一个系统，他们就会通过配置一个定时任务（cron job）来在设备上实现持久性，并从“3389[.]space”下载并执行一个名为“logo.jpg”的文件。这个文件实际上是一个shell脚本，它反过来会从攻击者的Git存储库下载挖矿程序的可执行文件，并将它们以文件名“java”进行保存。至于下载的确切文件，这取决于受害者的系统架构。类似地，是使用“h32”还是“h64”来调用“java”，也取决于系统架构。

虽然Talos团队最初观察到这个黑客团伙利用的是Apache Struts漏洞，但他们也观察到它利用了Oracle WebLogic服务器漏洞（CVE-2017-10271），以及CVE-2017-3066，这是Adobe ColdFusion平台中一个Java反序列化漏洞。

近期活动

在7月下旬，Talos团队意识到该组织参与了另一起类似的活动。通过对这起新活动的调查，Talos团队发现了更多有关该组织的细节。

Talos团队从部署的Struts2蜜罐中观察到了一个wget请求，该请求来自一个名为“0720.bin”的文件，位于118[.]24[.]150[.]172:10555。Talos团队访问了这个IP，发现它是一个开放的HFS文件共享服务器。除了“0720.bin”之外，它还托管着另外10个文件：“3307.bin”、“a7”、“bashf”、“ashg”、“config.json”、“lowerv2.sh”、“pools.txt”、“r88.sh”、“rootv2.sh”和“TermsHost.exe”。于是，Talos团队开始了对这些文件的研究。

HFS文件共享服务器的屏幕截图

Talos团队之前曾在2018年5月观察到过相同的IP扫描（针对TCP端口7001）。这很可能是对Oracle WebLogic服务器的扫描，因为它默认监听TCP端口7001。

“0720.bin”和“3307.bin”是相似的ELF文件，包括大小也一样（84.19KB），连接到118[.]24[.]150[.]172。在被发现的时候，被VirusTotal标记为无害文件。Morpheus Labs在其报告中也描述了一个类似的文件，该文件连接到相同的IP地址，如果C2发出了一个经过密码验证的指令，那么它就可以在受害者的主机上打开一个shell。在Talos团队捕获的两个样本以及Morpheus Labs所描述的样本中，硬编码的密码不仅相同，而且位于相同的偏移地址。

硬编码的密码

“a7”是一个shell脚本，可以杀死其他与加密货币挖掘恶意软件相关的各种进程（包括那么名称与流行的加密货币挖掘恶意软件匹配的进程，如“cranberry”、“yam”或“kworker”），以及普遍存在的挖矿程序（例如“minerd”和“cryptonight”）。另外，它可以检测并卸载各种中文杀毒软件，并从blog[.]sydwzl[.]cn下载并提取一个tar.gz文件，该文件也解析为118[.]24[.]150[.]172。

此外，“a7”还会从GitHub下载一个名为“libprocesshider”的文件，该文件使用ID预加载器隐藏了一个名为“x7”的文件。不仅如此，“a7”还会在known_hosts中查找IP地址并尝试通过SSH登录它们，然后从攻击者的HFS文件共享服务器（118[.]24[.]150[.]172）下载自身副本（“a7”），然后执行它。

“a7”源代码的摘录

“config.json”是XMRig的配置文件，XMRig是一个开源的门罗币挖矿程序。该文件将采矿池设置为xmr[.]pool[.]MinerGate[.]com:45700，钱包为rocke@live.cn（攻击者的钱包）。这也就是为什么Talos团队将该组织命名为“Rocke”的原因（请注意，对于MinerGate而言，可以使用电子邮箱地址来代替门罗币钱包号码）。“pools.txt”似乎是XMR-stak的配置文件，XMR-stak是一个开源的Stratum矿池挖矿程序，可以挖掘门罗币、Aeon币等。这个配置文件包含了与第一个配置文件（“config.json”）相同的采矿池和钱包信息。

“bashf”是XMR-stak的一个变种，而“bashg”是XMRig的一个变种。

“lowerv2.sh”和“rootv2.sh”是相似的shell脚本，它们试图下载并执行加密货币挖掘恶意软件组件“bashf”和“bashg”。其中，“bashf”是XMR-stak的一个变种，而“bashg”是XMRig的一个变种，它们都托管在118[.]24[.]150[.]172上。如果shell脚本没有从118[.]24[.]150[.]172下载一个挖矿程序，“lowerv2.sh”和“rootv2.sh”则会尝试从3g2upl4pq6kufc4m[.]tk下载一个名为“XbashY”的文件。

“R88.sh”也是一个shell脚本，用于配置定时任务（cron job）并尝试下载“lowerv2.sh”或“rootv2.sh”。

“TermsHost.exe”是一个PE32 门罗币挖矿程序。从它使用的配置文件来看，它似乎是Monero Silent Miner。这个挖矿程序可以以14美元的价格在网上购买到，其广告将它宣传为可以通过启动注册表来实现持久性、只在空闲时进行挖矿操作，并且能够将挖掘工具注入到“绕过防火墙的Windows进程”中。

“TermsHost.exe”能够从sydwzl[.]cn上托管的命令和控制（C2）服务器获取配置文件“xmr.txt”，其中包含与上述文件（“config.json”和“pools.txt”）相同的配置信息。接下来，它会将代码注入到notepad.exe中，然后继续与MinerGate矿池进行通信。另外，“TermsHost.exe”还会在Windows开始菜单文件夹中创建使用UPX打包的文件“dDNLQrsBUE.url”。有趣的是，这个文件似乎与流行的渗透测试软件Cobalt Strike有一些相似之处，后者允许攻击者对受感染系统拥有更全面的控制。

从网络安全公司Intezer在5月份的发布的报告来看， 这个payload似乎与网络犯罪组织Iron使用的payload十分相似。Iron和Rocke的恶意软件有着相似的行为，并且连接到相似的基础设施。因此，Talos团队表示他们可以非常肯定这些payload共享了一些代码库。不过，目前仍然无法确定Rocke和Iron之间的确切关系。

黑客团伙的身份

得益于Rocke的MinerGate门罗币钱包电子邮箱地址rocke@live.cn，Talos团队能够发现更多有关这个黑客团伙的细节。Talos团队注意到，Rocke的C2已注册到jxci@vip.qq.com。随后，Talos团队从中国安全网站FreeBuf 泄露的用户信息中发现一个名为“rocke”的用户与电子邮箱地址jxci@vip.qq.com存在关联，这表明他们很可能是同一伙人。

Talos团队还观察到，Rocke一直试图通过访问云存储服务来获取EasyLanguage中文编程手册。

大多数注册到Rocke的网站都显示为江西省的注册地址。其中一些网站属于江西省的企业，例如belesu[.]com，它就属于一家销售婴儿食品的公司。Talos团队表示，他们还有更多的证据可以用来证明Rocke来自江西，基于他们的GitHub页面所记录的信息。另外，jxci@vip.qq.com中的“jx”也可能指的是江西。

结论

根据Rocke在过去几个月里所开展的活动，Talos团队预计该团伙将继续利用Git存储库下载并在受感染设备上执行非法挖掘操作。值得注意的是，该团伙目前仍在继续扩展他们的工具集，包括基于浏览器的挖矿程序、难以检测的木马以及Cobalt Strike的恶意版本。除了IP扫描和漏洞利用之外，看起来Rocke似乎将要使用社会工程作为一种新的感染媒介，这一点可以从其存储库中发现的虚假Adobe Flash和Google Chrome更新得到证实。

尽管从目前来看，大多数加密货币的价值都存在很大的波动，但非法加密货币挖掘活动的趋势并没有因此显现出减弱的迹象。通过Rocke所开展的几起活动我们也可以看出，犯罪分子仍在设法利用各种可能的感染媒介来部署各种各样的加密货币挖掘恶意软件，以赚取尽可能多的非法收益。