RunMiner黑产团伙针对国内新动向

一、起因

某次hvv行动中，前期打点过程中发现目标单位某系统Web目录存在可疑文件，发现与远程服务器建立通信并下载可疑bat文件，在X情报社区查询了下该IP发现为臭名昭著的RunMiner挖矿木马团伙。

该黑产组织具有较强的lou dong武器化能力，此前腾讯安全曾披露过其利用Shiro以及Weblogic相关lou dong进行攻击，攻击成功后执行恶意脚本对Linux、Windows双平台植入挖矿木马，并且会在获取权限的第一时间干掉其他挖矿以及云上相关防护Agent。

二、经过

时隔几个月后又在同样的Web应用中发现RunMiner的身影，通过fofa对国内著名OA系统--某远OA 扫描探测发现，该团伙已经实现对某远OA系统普通用户RCE组合lou dong以及ajax.do接口文件上传lou dong批量武器化利用，仅在一个省份测试访问该文件，发现该省存在loudong的系统均已沦陷。

“某远OA”在我国使用范围较广，且涉及政企、能源、医疗、教育等重要关键基础设施单位。

具体手法通过文件上传在该OA系统Web目录下上传jsp文件，随后该jsp文件首先获取计算机用户名，随后远程下载bat文件到指定文件夹下，随后执行该bat文件，发现该bat文件在今年七月以经有人上传到微步云沙箱。

下载样本发现

与年初挖矿手法类似

加入了一些隐藏手段会删除包含挖矿程序的进程日志以及服务日志

IOCs

IP：146.196.83.217

URL：

http://146.196.83.217:29324/yygic/core.exe

http://146.196.83.217:29324/yygic/coreTask.bat

矿池&钱包

xmr.f2pool.com:13531

46YngqQEZQ6HYhqP7noesGdoecXZRM2jR16t7RKTbhW4TtqdKUQyggs3x7pADEWvpr5ySbesyQQwJfaHbewXurEWNdeWNtj

三、最后

排查某远Web目录下是否包含ncrun.jsp文件

/Seeyon/A8/ApacheJetspeed/webapps/seeyon/common/designer/pageLayout/ncrun.jsp

排查文档目录下是否存在

C:\Users\"+name+"\Documents\coreTask.bat

%USERPROFILE%Documentscorecore.exe

尽快更新最新系统，20到21年hvv常用利洞 懂得都懂