通过漏洞攻击安装的 Mimo CoinMiner 和 Mimus Ransomware

概述

AhnLab 安全情报中心 （ASEC） 最近观察到一个名为 Mimo 的 CoinMiner 威胁行为者利用各种漏洞安装恶意软件的情况。Mimo，也被称为 Hezb，是在 2022 年 3 月通过 Log4Shell 漏洞利用安装 CoinMiners 时首次被发现的。

到目前为止，所有攻击案例都涉及在最后阶段安装名为 Mimo Miner Bot 的 XMRig CoinMiner。但是，除了 Mimo 矿工之外，还有其他相关案例，同一威胁行为者安装了 Mimus 勒索软件、代理软件和反向外壳恶意软件。本文将介绍 Mimo 威胁参与者在攻击中使用的各种恶意软件。

1. 漏洞利用

Mimo 威胁行为者的第一个已知活动是在 2022 年 3 月，当时通过利用 Log4Shell 漏洞 （CVE-2021-44228） 安装了 CoinMiner。威胁行为者在 2022 年 5 月利用了 WSO2 的远程代码执行漏洞 （CVE-2022-29464） ，在 2022 年 6 月利用了 Atlassian Confluence 服务器的漏洞 （CVE-2022-26134）。2023 年 5 月，观察到一起利用打印机管理程序 PaperCut 远程代码执行漏洞 （CVE-2023–27350） 的攻击案例，以及最近利用 Apache ActiveMQ 漏洞 （CVE-2023-46604） 的案例。

2022 年，ASEC 分析并揭示了 8220 Gang、z0Miner 以及 Mimo （Hezb） 威胁行为者利用易受攻击的 Atlassian Confluence 服务器安装 XMRig CoinMiner 的案例。此特定攻击中使用的漏洞 （CVE-2022-26134） 是未修补的 Atlassian Confluence 服务器的远程代码执行漏洞。

图 1.通过CVE-2022-26134漏洞安装的Mimo CoinMiner

Atlassian 的 Confluence 是全球许多公司使用的主要协作平台。作为一个基于 Web 的平台，管理项目和协作等服务主要由 Confluence Server（或 Confluence Data Centers）提供。由于它是许多公司使用的解决方案，因此不断发现许多针对易受攻击的 Confluence 服务器和数据中心的漏洞，攻击者的目标是未打补丁的系统。

Mimo 威胁行为者利用 Log4Shell （CVE-2021-44228） 漏洞安装 CoinMiners 的案例仍在发现中。Log4Shell （CVE-2021-44228） 是基于 Java 的日志记录实用程序 Log4j 中的一个远程代码执行漏洞。它允许在使用 Log4j 的服务器中远程执行 Java 对象，方法是在日志消息中包含远程 Java 对象地址并发送它。

安装了 VMware Horizon 的系统是目标。VMware Horizon 是用于远程工作和操作云基础架构的虚拟桌面解决方案。似乎这些系统和正在使用的 Log4J 正在受到攻击，因为 VMware Horizon 尚未打补丁。

图2.通过 Log4Shell 漏洞安装的 Mimo CoinMiner

最近，有证据表明 2023 年 11 月披露的 Apache ActiveMQ 漏洞 （CVE-2023-46604） 被利用。CVE-2023-46604 是 Apache ActiveMQ 服务器（开源消息传递和集成模式服务器）中的远程代码执行漏洞。如果未打补丁的 Apache ActiveMQ 服务器在外部暴露，威胁参与者可以远程执行恶意命令并控制目标系统。

漏洞攻击是通过操纵 OpenWire 协议中的序列化类类型，使类路径中的类产生实例来实现的。当威胁参与者发送修改后的数据包时，易受攻击的服务器会引用数据包中的路径 （URL） 来加载类 XML 配置文件。

例如，易受攻击的 Apache ActiveMQ 的 Java 进程引用收到的修改后的数据包，并加载位于“hxxp://102.130.112[.]157/poc-win.xml“路径。然后，它引用加载的 XML 配置文件来运行指定的命令。配置文件具有下载 Mimo 矿工的 Powershell 命令。

图3.Apache ActiveMQ漏洞配置文件用于Mimo矿工攻击

2. XMRig CoinMiner 攻击案例

通过漏洞攻击执行的 Powershell 是通过下载 Batch 恶意软件来执行的。最近，名称“lnl.bat”或“kill.bat”被使用。Batch 恶意软件会禁用 Windows Defender 并删除其他 CoinMiner，然后最终在 %TEMP% 路径中下载并运行名为“ln.bat”或“mad.bat”的 Batch 恶意软件。

图4.通过漏洞攻击安装的批处理恶意软件

“ln.bat”或“mad.bat”批处理恶意软件还会下载“dom.zip”或“dom-6.zip”压缩文件，并使用7z工具对其进行解压缩。解压缩的文件有XMRig CoinMiner“dom.exe”负责挖掘门罗币，NSSM工具“dsm.exe”，以及保存在里面的配置文件。Batch 脚本随后使用 NSSM 将 XMRig 注册为服务。尽管使用了各种漏洞攻击，但用于安装 CoinMiners 的例程相当简单，并且使用了 XMRig 和 NSSM 工具，没有任何特别的更改。

图5.批量恶意软件安装 XMRig CoinMiner

图6.Mimo 威胁参与者使用的配置文件

• 钱包地址1：43DTEF92be6XcPj5Z7U96g4oGeebUxkFq9wyHcNTe1otM2hUrfvdswGdLHxabCSTio7apowzJJVwBZw6vVTu7NoNCNAMoZ4
• 钱包地址2：46HmQz11t8uN84P8xgThrQXSYm434VC7hhNR8be4QrGtM1Wa4cDH2GkJ2NNXZ6Dr4bYg6phNjHKYJ1QfpZRBFYW5V6qnRJN

3. Mimus 勒索软件

Mimo 威胁参与者的大多数攻击都是使用 XMRig CoinMiner 的情况，换句话说，就是 Mimo 矿工。然而，2023 年也观察到勒索软件攻击案例。勒索软件是在 2023 年 Mimo 矿工分发地址的同一时间和地点发现的。

图7.Mimo 矿工和 Mimus 勒索软件的下载地址

与此 Batch 恶意软件一起安装的勒索软件是根据开发人员“mauri870”在 GitHub 上披露的源代码制作的，该开发人员开发了用于研究目的的代码。该源代码还包括一个解释，即 MauriCrypt 正在检测它是否经常被威胁行为者使用。在本文中，开源勒索软件称为 MauriCrypt。

图8.GitHub 上显示的勒索软件源代码

MauriCrypt 是用 Go 开发的，威胁行为者使用它来开发勒索软件并将其命名为 Mimus 勒索软件。与 MauriCrypt 的源代码相比，Mimus 勒索软件没有任何特别的区别。只有威胁参与者的C&C地址、钱包地址、电子邮件地址和其他配置数据被更改。

Mimus 勒索软件概述

MauriCrypt随机生成受感染系统的“id”和高级加密标准（AES）密钥值“enckey”，然后与C&C服务器连接以发送它们。Mimus勒索软件可能被禁用，但MauriCrypt具有支持Tor与C&C服务器通信的功能。这是通过下载并安装Tor浏览器到%TEMP%路径，然后执行它以通过浏览器连接到C&C服务器。

图 9.下载 Tor 的 URL

之后，对除例外之外的所有路径中具有指定扩展名的文件进行加密。加密文件的名称以 Base64 编码，扩展名更改为“.encrypted”。文件加密完成后，会在桌面上创建两张赎金票据。赎金票据“FILES_ENCRYPTED.html”保存了加密文件列表，赎金票据“READ_TO_DECRYPT.html”包括联系地址和比特币钱包地址。

图 10.在桌面上生成的赎金记录

• 威胁参与者的电子邮件地址：arbeyceo@proton[.]me
• 威胁参与者的比特币钱包地址：15Jz1fmreZx9wG93DKjTXMhuLpPpCgvEQk
• 购买解密工具的网站：hxxps://satoshidisk[.]com/pay/CIIRg6

在访问销售解密工具的网站时，可以找到一个帖子，其中解密工具以 0.01050000 BTC 的价格出售。虽然我们无法知道它们是否与 Mimus 勒索软件攻击直接相关，但比特币钱包的 URL 显示了多笔交易的记录。

图 11.销售解密工具的网站

图 12.威胁行为者比特币钱包地址的交易记录

4. 代理软件

虽然分发方法或安装的脚本尚未得到确认，但有记录显示，在分发 Mimo 矿工时，代理软件和反向外壳恶意软件从同一地址下载。换句话说，据推测，威胁行为者除了使用勒索软件攻击和硬币挖掘来产生利润外，还通过安装代理软件来使用代理劫持攻击。

Proxyware 是一种程序，它将系统上当前可用的部分 Internet 带宽共享给其他人。安装程序的用户通常会获得一定数量的现金以换取提供带宽。如果威胁行为者在未经用户同意的情况下秘密地将代理软件安装到受感染的系统中，则受感染的系统会不由自主地窃取其带宽，并将利润重定向到威胁行为者手中。这类似于加密劫持攻击，但安装了 CoinMiners 而不是代理软件，以使用受感染系统的资源挖掘加密货币。

图 13.从与 Mimo 矿工相关的地址下载的代理软件

5.NHAS反壳

此外，还发现了与Mimo矿工的下载地址与C&C服务器使用相同地址的反向shell恶意软件。攻击中使用的反向shell是“NHAS”使用Go开发的名为reverse_ssh的工具。它可以在GitHub上找到，并使用SSH协议与C&C服务器进行通信。

图 14.反向 shell 的 GitHub 页面

NHAS 反向外壳是其名称中所述的反向外壳。与其他后门和 RAT 类型相比，它仅提供执行命令、文件处理和端口转发等基本命令。但是，安装此功能意味着威胁行为者只需在受感染的系统上安装 CoinMiners、代理软件或勒索软件即可获利。此外，对受感染系统的控制权可能会被窃取以执行其他任务。

6. 结论

2022 年初首次发现的 Mimo 矿工威胁行为者仍在利用 Log4Shell （CVE-2021-44228）、WSO2 远程代码执行漏洞 （CVE-2022-29464）、Atlassian Confluence 服务器漏洞 （CVE-2022-26134）、打印机管理程序 PaperCut 远程代码执行漏洞 （CVE-2023-27350） 和 Apache ActiveMQ 漏洞 （CVE-2023-46604） 等漏洞安装恶意软件。

所有这些漏洞的补丁都已经发布，但由于威胁行为者的目标是管理不善的系统，因此攻击仍在继续。系统管理员必须检查正在使用的服务是否为易受攻击的版本，并应用最新的补丁以防止已知漏洞被利用。

他们还应该使用安全程序，例如从外部访问的服务器防火墙，以限制攻击者的访问。最后，必须谨慎行事，将 V3 更新到最新版本，以提前阻止恶意软件感染。

IOC

Download URL

hxxp://102.130.112[.]157/lnl.bat : Downloader
hxxp://102.130.112[.]157/kill.bat : Downloader
hxxp://102.130.112[.]157/ln.bat : CoinMiner Downloader
hxxp://102.130.112[.]157/mad.bat : CoinMiner Downloader
hxxp://102.130.112[.]157/dom.zip : CoinMiner / NSSM
hxxp://102.130.112[.]157/dom-6.zip : CoinMiner / NSSM
hxxp://102.130.112[.]157/7za.exe : 7zip
hxxp://102.130.112[.]157/poc-win.xml : Exploit
hxxp://50.19.48[.]59:82/kill.bat : Downloader
hxxp://50.19.48[.]59:82/me1.bat : Downloader
hxxp://50.19.48[.]59:82/me.bat : CoinMiner
hxxp://50.19.48[.]59:82/me2.bat : CoinMiner
hxxp://50.19.48[.]59:82/prx.bat : Downloader
hxxp://50.19.48[.]59:82/lol.exe : Mimus Ransomware
hxxp://50.19.48[.]59:82/mazar.zip : Peer2Profit Installer

C2

hxxp://windows.n1tro[.]cyou:4544 : Mimus ransomware
102.130.112[.]157:3232 : NHAS Reverse Shell

MD5

618680a68eb6ac79f530a0291ad29d9f : Downloader (lnl.bat)
5e0f18dfe16f274d34716d011e0a3f39 : Downloader (kill.bat)
958dd3e767b32a28c199d59ce01ffb6c : CoinMiner Downloader (ln.bat)
c25972604121f4c6a7f8025e4e575c7c : CoinMiner (mad.bat)
1136efb1a46d1f2d508162387f30dc4d : NSSM (dsm.exe)
7ef97450e84211f9f35d45e1e6ae1481 : XMRig (dom.exe)
3edcde37dcecb1b5a70b727ea36521de : XMRig (dom.exe)
bfa626e053028f9adbfaceb5d56086c3 : Config (config.json)
61def7b3b98458a40fffa42a19ddf258 : Config (config.json)
78c0c7648854d61da3bfba08dc11ffd6 : Downloader (kill.bat)
a3ffb336aee9f01275c92ac529c8f70e : Downloader (me1.bat)
52cef8752f2c0f9a5383d2aecbdccc6f : CoinMiner (me.bat)
5d32f0eee7adf20e0766d5481a1953a5 : CoinMiner (me2.bat)
b206cf6652a2d8279e7ca32f3127aeed : Downloader (prx.bat)
dd6931fda2df843249a5df40b8808387 : Mimus ransomware (lol.exe)
a2cf452cb27ff2970e3248a9793de326 : Peer2Profit Installer (Peer2Profit-Setup.exe)
77c2cb38dbcc944c010deda3024bb804 : Reverse Shell (me)
c9450a531ea62c6b9f7db0d5c7cae5a5 : Exploit (poc-win.xml)

参考链接：https://asec.ahnlab.com/en/60440/

图片来源网络目标可联系删除