Summary

DTLMiner makes a comeback and adds exploitation of CVE-2024-23692 vulnerability.
DTLMiner replaces the primary domain with d.0000o[.]xyz, and t.0000o[.]xyz as the domain for downloading scripts and other components.
DTLMiner now has fewer modules on both Windows and Linux platforms and obfuscates scripts at most once.
The DTLMiner lateral movement module removes Elastic Search, Solr, Docker propagation methods, actual code of SSH Brute Force Module has also been removed and only retains the commands that are executed after a successful exploit.
DTLMiner again introduces a backdoor module, but like the mining module are executable file, not a fileless module.

前言

周五下班前在网上刷到了HFS的RCE漏洞CVE-2024-23692被利用的新闻，链接最终指向安博士的一篇分析报告（报告链接在文末），里面有提到安博士最终将相关攻击归属到LemonDuck组织。我一听这词就来劲了，这不是DTLMiner么？于是火速吃完饭回家开始分析相关样本

距离上一次我记录DTLMiner的更新内容已经时隔两年了，本以为它已经销声匿迹，没想到却在最近卷土重来。在网上一番查找过后，我推断这玩意儿压根就没死，只是我跟丢了而已

DTLMiner，好久不见，甚是想念（大雾

主域名换了，换成了d.0000o[.]xyz，和t.0000o[.]xyz同时作为下载脚本及其他组件的域名

现在Windows平台的所有脚本均最多进行一次混淆（原来可是四次）

现在初始脚本不再作为下载核心脚本的下载器，将会直接下载其他功能模块并执行（等同于将原来两个脚本的功能合并），并完成持久化操作（还是经典的计划任务+PowerShell）

这里使用2022.02.21本人捕获到的样本进行对比，左侧为旧版

其实只需要对比头部这段代码就能很轻松地看出变化，Elastic Search、Solr、Docker传播方式被砍了。当然，如果继续往后翻差异代码，还会发现虽然前面有SSH爆破成功后执行的命令，但后面并没有实际的爆破代码

新增的模块（以前只在分支版本出现过），由初始脚本下载，落地执行，使用Safengine Shielden加壳，本质上就是一个Gh0st远控木马，C2地址为e.0000o[.]xyz:7722

自解压包，分32位和64位，由初始脚本下载，落地执行，均使用NSSM实现持久化。64位下额外引入带有漏洞的WinRing0驱动（这个算是很多挖矿程序的常规操作了），且64位的挖矿程序使用VMProtect加壳，矿池地址为x.l0o01[.]com:1454

目前直接投放核心脚本（以前在Linux平台初始投放的脚本只是一个下载器，会下载核心脚本），核心脚本变化非常大，但我在网上搜到了两篇类似样本的分析报告（均为2023年上半年发布，但里面提到的网络IOC本人并未发现和DTLMiner有明显关联），报告链接同样在文末