奋斗在挖矿第一线，靠“勤劳”取胜的Panda黑客组织

Panda黑客组织及其非法敛财手段

1. 利用RAT工具和恶意挖矿软件，名为“Panda”的黑客团伙已悄无声息地盗取了价值约10万美元的门罗币。尽管技术手法并非顶尖级别，但其在全球黑客组织中的活跃度却名列前茅，瞄准医疗保健、运输、电信及IT服务等行业发起攻击。

2. 早在2018年7月，思科Talos团队首次揭开了Panda组织的面纱。他们发现，Panda通过WebLogic漏洞（CVE-2017-10271）和Apache Struts 2远程执行漏洞（CVE-2017-5638），植入被命名为“downloader.exe”的加密货币挖矿恶意软件，并将其伪装成简单数字命名（如“13.exe”），藏匿在TEMP文件夹中。

3. 此后，该挖矿恶意软件会从特定服务器下载配置文件，其中包含门罗币钱包地址和矿池信息，通过端口57890进行通信。截止到同年10月，仅一个服务器上该配置文件的下载次数就超过了令人瞠目的30万次。

Panda与其他恶意软件的关联与传播手段

1. 在调查过程中，思科Talos团队还注意到Panda与Bulehero挖矿蠕虫存在惊人的相似之处。两者均采用PowerShell下载并以数字命名"downloader.exe"，并在沙箱环境中展示出类似的攻击路径和行为模式，如关闭防火墙、篡改访问控制列表等。

2. 更深入探究发现，appveif.exe创建的某些文件与Bulehero挖矿蠕虫使用的恶意文件不谋而合，甚至存在于相同的系统目录下，进一步证实了两者之间的潜在联系。

Panda黑客组织的演变与发展

1. 随着时间推移，2019年初，Panda开始利用新披露的ThinkPHP框架漏洞（CNVD-2018-24942）散播恶意软件，并通过上传PHP Web shell至服务器来实现恶意文件的下载与执行。

2. 同年3月，Panda更新了基础架构，转而使用hognoob[.]se的子域进行活动。虽然其惯用的战术、技术和程序（TTP）保持不变，仍依赖于PowerShell下载可执行文件"download.exe"，但在文件命名复杂度及下载地址等方面进行了调整，同时增加了SMB扫描功能。

3. 之后，Panda所使用的挖矿木马"wercplshost.exe"不仅包含了源自Shadow Brokers黑客组织的漏洞利用和SMB暴力破解模块，还借助开源工具Mimikatz盗窃受害者的密码。此后，Panda不断更新有效载荷，利用certutil.exe等命令下载和运行加密货币挖矿恶意软件。

4. 至2019年6月，Panda开始利用新的WebLogic漏洞CVE-2019-2725，虽TTP变化不大，但持续频繁切换C2服务器、有效载荷托管基础设施以及备用矿池。

结论部分

尽管Panda的技术手段算不上高超，有时甚至略显粗糙，比如域名管理和TTP缺乏显著变化，恶意有效载荷构造也不够复杂，但这并不妨碍它成为全球范围内非法挖矿活动中最为活跃的黑客组织之一。尤为值得关注的是，Panda对新出现漏洞的利用速度极快，对于那些疏于更新系统的用户而言，无疑是一大威胁。因此，千万不可小觑这个热衷尝鲜、手法灵活多变的“熊猫”黑客团伙！ RAT币