H2Miner挖礦組織自2019年出現，持續活躍，同時向Linux與Windows雙平臺傳播惡意腳本，最終下載門羅幣挖礦程序以及其他后門、端口掃描工具等。H2Miner主要使用RCE漏洞進行傳播，研究人員本次捕獲到的樣本利用了CVE-2020-14883(WebLogic RCE漏洞)進行傳播。

詳情

H2Miner挖礦組織在Linux平臺上傳播Kinsing僵尸網絡，起名原因是其守護進程名為“kinsing”。該惡意軟件具有挖礦功能，同時在失陷主機上開放后門，具有masscan端口掃描的功能，連接C2服務器上傳基礎信息，還具有下載腳本進行橫向移動等功能。

攻擊者使用的技術點如下：

攻擊者利用漏洞入侵Windows平臺和Linux平臺。在Windows平臺中，失陷主機下載并執行wbw.xml的XML文件，在XML文件中執行一段PowerShell命令，下載名為1.ps1的腳本，該腳本下載挖礦程序以及挖礦的配置文件并重命名執行，創建計劃任務每30分鐘執行一次1.ps1腳本，實現持久化長期駐留失陷主機。

在Linux平臺中，失陷主機下載并執行名為wb.xml的XML文件，該XML文件使用同樣的手法內嵌了一段bash腳本，執行后下載挖礦腳本，主要功能包括清除競品挖礦程序和計劃任務、MD5校驗、卸載安全軟件和下載Kinsing惡意軟件并執行等。

Kinsing惡意軟件不僅具有挖礦功能，還會在失陷主機上開放后門以及masscan端口掃描等功能，連接C2服務器上傳版本號、內核數量、內存信息、操作系統信息、是否獲得Root 權限和Uuid等信息，并會下載后續腳本進行橫向移動等。整體攻擊流程如下：

據悉，H2Miner組織最早在2019年底使用Kinsing僵尸網絡發起攻擊，主要針對Linux服務器。2020年末新版本更新中增加了對Windows平臺的攻擊，可以通過雙平臺傳播。