H2Miner挖礦組織自2019年出現(xiàn)，持續(xù)活躍，同時向Linux與Windows雙平臺傳播惡意腳本，最終下載門羅幣挖礦程序以及其他后門、端口掃描工具等。H2Miner主要使用RCE漏洞進行傳播，研究人員本次捕獲到的樣本利用了CVE-2020-14883(WebLogic RCE漏洞)進行傳播。

詳情

H2Miner挖礦組織在Linux平臺上傳播Kinsing僵尸網(wǎng)絡，起名原因是其守護進程名為“kinsing”。該惡意軟件具有挖礦功能，同時在失陷主機上開放后門，具有masscan端口掃描的功能，連接C2服務器上傳基礎信息，還具有下載腳本進行橫向移動等功能。

攻擊者使用的技術點如下：

攻擊者利用漏洞入侵Windows平臺和Linux平臺。在Windows平臺中，失陷主機下載并執(zhí)行wbw.xml的XML文件，在XML文件中執(zhí)行一段PowerShell命令，下載名為1.ps1的腳本，該腳本下載挖礦程序以及挖礦的配置文件并重命名執(zhí)行，創(chuàng)建計劃任務每30分鐘執(zhí)行一次1.ps1腳本，實現(xiàn)持久化長期駐留失陷主機。

在Linux平臺中，失陷主機下載并執(zhí)行名為wb.xml的XML文件，該XML文件使用同樣的手法內(nèi)嵌了一段bash腳本，執(zhí)行后下載挖礦腳本，主要功能包括清除競品挖礦程序和計劃任務、MD5校驗、卸載安全軟件和下載Kinsing惡意軟件并執(zhí)行等。

Kinsing惡意軟件不僅具有挖礦功能，還會在失陷主機上開放后門以及masscan端口掃描等功能，連接C2服務器上傳版本號、內(nèi)核數(shù)量、內(nèi)存信息、操作系統(tǒng)信息、是否獲得Root 權限和Uuid等信息，并會下載后續(xù)腳本進行橫向移動等。整體攻擊流程如下：

據(jù)悉，H2Miner組織最早在2019年底使用Kinsing僵尸網(wǎng)絡發(fā)起攻擊，主要針對Linux服務器。2020年末新版本更新中增加了對Windows平臺的攻擊，可以通過雙平臺傳播。