Luoxk挖矿病毒肆意横行，感染规模逐扩大

据某安全公司的消息称，黑客利用甲骨文公司的补丁漏洞进行挖矿。据了解，甲骨文公司在官方发布的例行补丁更新中修复了名为CVE-2018-2893的远程代码执行漏洞。而从21日起，一个黑客团伙luoxk开始利用该漏洞进行挖矿。从对其域名luoxkexp[.]com的访问情况来看，用户感染规模已经比较大。该团伙曾通过另外一个XRM钱包地址挖到了约195枚XMR，并进行过RAT远程控制、安卓恶意代码、利用RMI服务传播的蠕虫等攻击行为。

具体情况如下，在收到消息后，我们回想起在7月18日，Oracle在官方发布的例行补丁更新中修复了CVE-2018-2893，一个Oracle WebLogic Server 远程代码执行漏洞。

三天后，2018-07-21 11:24:31 开始，我们注意到一个长久以来我们跟踪的恶意代码团伙正在积极利用该漏洞传播自身。

据说该团伙经常使用 luoxkexp[.]com ，所以被命名为luoxk 。

该恶意代码团伙曾在2017年3月17日犯案，在国内某个安全团队的DNSMon系统里，在该恶意代码团伙域名注册后的第二天根据算法自动判断该域名异常。

该恶意代码团伙的主要行为，包括：

DDoS攻击：使用DSL4（Nitol）恶意代码，对应的C2 luoxkexp.com
挖矿使用的钱包地址是：48WDQHCe5aRDeHv1DkkdwQiPRQSqYw2DqEic7MZ47iJVVTeQ1aknDULfKj6qqLu6hy6xRZJu4BgYziSMbfzCGnqc54VekKH，不过目前收益并不高，pool.minexmr.com给付的门罗币（XMR）只有 2.746605935

下面是Botnet跟踪系统看到的最早的DDoS攻击指令，发生于 2017-06-11，受害者是 116.211.167.112。

2017-06-11 22:39:29   dsl4       luoxkexp.com      192.225.225.154 2015    ddos  tcp_flood      116.211.167.112     15010         tcp_flood, target=116.211.167.112, port=15010, attack_time=20m, threads=30, type=22

luoxk 团伙近期利用 CVE-2018-2893 挖矿

21日起，luoxk 团伙开始利用仅发布了 3 天的CVE-2018-2893。漏洞利用主要通过下面这个文件实现

通过对该jar包反编译，可以注意到有以下关键代码

会从服务器上继续下载以下内容：

矿机运行配置来自上述 ver1.txt，如下

值得一提的是，该恶意团伙会禁止部分IP地址的访问。某些URL在一段时间后就不能从特定IP地址访问了。

感染规模

从域名 luoxkexp[.]com 的访问情况看，单日DNS访问次数峰值超过300k，感染规模已经比较大。

据了解，该团伙历史上使用过另外一个XRM钱包地址，在那个钱包里已经挖到了 195.625363870000 XMR：

该恶意团伙的工作范围非常广泛，除了本文已经介绍的内容以外，至少还包括：

1.RAT远程控制 ：使用了 Gh0st 家族恶意代码

2.alipay：看到代码中包含了支付宝红包推广的行为，这可能意味着攻击者可以通过推广拿到提成

3.安卓恶意代码

4.利用RMI服务传播的蠕虫

最后，曲速未来安全区建议所有团队，警惕以上出现的各种问题，以免感染病毒。