2019年中旬，Talos安全团队在“MassMiner”挖矿活动（MassMiner是一个挖矿歹意软件宗族，经过很多不同的缝隙进行传达，还暴力进犯Microsoft SQL Server）中注意到一个名为“Panda”的新要挟团伙。 “Panda”所运用的技能东西并不杂乱，无外乎是长途拜访东西（RAT）和不合法挖矿软件，却是咱们看到的最活泼的进犯者之一，迄今为止现已发明了价值数十万美元的加密钱银，别的值得注意的是他们的行为——在全球规模内继续运用着易受进犯的web应用程序，而遍历 *** 的东西和对RAT的运用，也意味着全世界的安排都面临着将其体系资源滥用于挖矿的危险，乃至更糟，比方走漏价值信息等。 Panda常常更新他们的基础设施、缝隙运用和payload，影响规模包含银行、医疗保健、交通、电信和IT服务等职业的安排机构。 初次发现“Panda” 2019年7月，咱们初次调查到了“Panda”要挟安排，其进犯流程是先运用massscan寻觅各种易受进犯的服务器，然后运用几种不同的缝隙，比方WebLogic缝隙（CVE-2019-10271）和Apache Struts 2中的长途代码履行缝隙（CVE-2019-5638），经过PowerShell post-exploit下载名为“downloader.exe”的挖矿软件payload，并将其以简略的数字命名（例如“13.exe”）保存在TEMP文件夹中，之后再履行。咱们观测到的样本是经过经过端口57890从list[.]idc3389[.]top或kingminer[.]club.中下载配置文件的，配置文件里指定了要运用的门罗币钱包及矿池。截止现在，咱们预估Panda从中获取的赢利，按其时美元来算的话应该有十万。 到了2019年10月，list[.]idc3389[.]top上的配置文件的下载量现已超越30万次。 样本一起还会装置Gh0st RAT，它与rat[.]kingminer[.]club进行通讯。在别的一些变体中，咱们还调查到一些其他的黑客东西和缝隙运用的植入，包含凭据偷盗东西Mimikatz和方程式安排（Equation Group）的UPX加壳东西。样本还会经过端口445到172.105.X.X块中的IP地址扫描敞开的 *** B端口。 idc3389[.]top是Panda的C2域之一，由一位说中文的参与人注册，他的姓名正是“Panda”。 与Bulehero的联络 初次发现Panda进犯的同一时间，在另一个C2域bulehero [.] in中咱们调查到十分类似的TTP。进犯者运用PowerShell从b[.]bulehero[.]in中下载名为“download.exe”的文件，相同将其保存为以简略数字命名的文件（如“13.exe”）并履行。 在沙箱环境中，咱们调查了几个将它相关到前期MassMiner活动的特征。首要，它经过从前调查到的端口57890，GET恳求一个名为cfg.ini的文件，该文件保管在bulehero[.]in的一个子域上：c[.]bulehero[.]in。与MassMiner共同，配置文件指定原始样本所来自的站点，以及用于采矿的钱包和矿池。 此外，样本会企图运用比如“cmd / c net stop MpsSvc”之类的指令封闭受害者的防火墙。歹意软件还会修正拜访操控列表，经过运转cacsl.exe颁发某些文件的彻底拜访权限。 例如： cmd / c schtasks / create / sc minute / mo 1 / tn“Netframework”/ ru system / tr“cmd / c echo Y | cacls C：Windowsappveif.exe / p everyone：F 而在从前的MassMiner感染中也调查到这两种行为。 样本还会向ip138 [.] com宣布GET恳求名为ic.asp的资源，此ip地舆定位为中文，该资源以中文的方式供给机器的IP地址和方位，而在MassMiner活动中也调查到了此行为。 此外，appveif.exe会在体系目录中创立许多文件，其间许多文件被多个AV引擎确认为歹意文件，并且好像与MassMiner活动中的缝隙运用相匹配。例如咱们检测到几个东西都与“Shadow Brokers”安排的缝隙运用相关，并且这些文件都装置在一个具有可疑称号的目录中：“WindowsInfusedAppeEternalblue139specials”。 “Panda”的进化 在2019年1月，Talos调查到Panda运用ThinkPHP *** 结构中最新发表的一个缝隙（CNVD-2019-24942）来传达类似的歹意软件。 ThinkPHP是一个在我国盛行的开源Web结构，运用此缝隙，可直接从a46[.]bulehero[.]in中下载“download.exe”。Panda还将一个简略的PHP Web shell上传到途径“/public/hydra.php”，用于调用PowerShell来下载相同的可履行文件。web shell仅供给了经过对“/public/hydra.php”HTTP恳求中的URL参数调用恣意体系指令的才能。Download.exe将下载不合法挖矿软件payload，并有 *** B扫描的行为，这是Panda横向移动的证明。 2019年3月，Panda更换了新的基础设施，包含域hognoob[.]se的各个子域。其时保管初始payload的域fid[.]hognoob[.]se，解析为IP地址195[.]128[.]126[.]241，也与bulehero[.]in的几个子域相相关。 3月时Panda的TTP与之前的类似。缝隙运用后，Panda调用PowerShell从URL hxxp://fid[.]hognoob[.]se/download.exe下载名为“download.exe”的可履行文件，并将其保存在Temp文件夹中，不过文件名相较之前要变得杂乱许多，如“autzipmfvidixxr7407.exe”；之后此文件再从fid[.]hognoob[.]se下载名为“wercplshost.exe”的挖矿木马和从uio[.]hognoob[.]se下载配置文件“cfg.ini”。[1][2][3]黑客接单网