最新消息：

安全公司：黑客利用甲骨文公司的补丁漏洞进行挖矿。甲骨文公司在官方发布的例行补丁更新中修复了CVE-2018-2893（一个远程代码执行漏洞）。21日起，一个黑客团伙luoxk开始利用该漏洞进行挖矿。从对其域名luoxkexp[.]com的访问情况来看，用户感染规模已经比较大。该团伙曾通过另外一个XRM钱包地址挖到了约195枚XMR，并进行过RAT远程控制、安卓恶意代码、利用RMI服务传播的蠕虫等攻击行为。

具体：

在收到消息后，我们回想起在7月18日，Oracle在官方发布的例行补丁更新中修复了CVE-2018-2893，一个Oracle WebLogic Server 远程代码执行漏洞。

三天后，2018-07-21 11:24:31 开始，我们注意到一个长久以来我们跟踪的恶意代码团伙正在积极利用该漏洞传播自身。

据说该团伙经常使用 luoxkexp[.]com ，所以被命名为luoxk 。

该恶意代码团伙曾在2017年3月17日犯案，在国内某个安全团队的DNSMon系统里，在该恶意代码团伙域名注册后的第二天根据算法自动判断该域名异常。

该恶意代码团伙的主要行为，包括：

1、DDoS攻击：使用DSL4（Nitol）恶意代码，对应的C2 luoxkexp.com

2、挖矿使用的钱包地址是：48WDQHCe5aRDeHv1DkkdwQiPRQSqYw2DqEic7MZ47iJVVTeQ1aknDULfKj6qqLu6hy6xRZJu4BgYziSMbfzCGnqc54VekKH，不过目前收益并不高，pool.minexmr.com给付的门罗币（XMR）只有 2.746605935

下面是Botnet跟踪系统看到的最早的DDoS攻击指令，发生于 2017-06-11，受害者是 116.211.167.112。

2017-06-11 22:39:29   dsl4       luoxkexp.com      192.225.225.154 2015    ddos  tcp_flood      116.211.167.112     15010         tcp_flood, target=116.211.167.112, port=15010, attack_time=20m, threads=30, type=22

luoxk 团伙近期利用 CVE-2018-2893 挖矿

21日起，luoxk 团伙开始利用仅发布了 3 天的CVE-2018-2893。漏洞利用主要通过下面这个文件实现

通过对该jar包反编译，可以注意到有以下关键代码

会从服务器上继续下载以下内容：

矿机运行配置来自上述 ver1.txt，如下

值得一提的是，该恶意团伙会禁止部分IP地址的访问。某些URL在一段时间后就不能从特定IP地址访问了。

感染规模

从域名 luoxkexp[.]com 的访问情况看，单日DNS访问次数峰值超过300k，感染规模已经比较大。

该团伙历史上使用过另外一个XRM钱包地址，在那个钱包里已经挖到了 195.625363870000 XMR：

该恶意团伙的工作范围非常广泛，除了本文已经介绍的内容以外，至少还包括：

RAT远程控制 ：使用了 Gh0st 家族恶意代码

alipay：看到代码中包含了支付宝红包推广的行为，这可能意味着攻击者可以通过推广拿到提成

安卓恶意代码

利用RMI服务传播的蠕虫