首頁 > 安全資訊 > 正文

OA網站掛馬"盡顯狼藉",多家中招企業淪為"挖礦肉雞"

作為協作交流的重要平臺,OA系統有效提高了員工的辦公效率和企業的經濟效益,成為企業數字化建設的代名詞。但一旦OA系統遭受網絡攻擊,企業將可能面臨不可估量的重創。

近日,360安全大腦監測到國內知名協同管理軟件——致遠OA網站出現掛馬情況,不法攻擊者疑似利用該OA系統曝出的GetShell漏洞實施入侵活動。

360安全大腦追蹤發現,不法攻擊者入侵后,會將該OA網站正常組件程序替換為門羅幣挖礦病毒程序,進而利用網站服務器的高速運行能力挖礦,非法獲取不正當利益。截止目前,攻擊者挖取到的門羅幣總價值超過10萬人民幣。

對此,360安全大腦已針對此類木馬進行了全方位的查殺和攔截,特別提醒廣大用戶需提高警惕。

OA漏洞慘遭木馬利用

企業網站慘變挖礦"機"

此次意外中招的致遠OA系統是一款國內知名的協同管理軟件,不僅擁有面向中小企業組織的A6+產品,面向中大型企業和集團性企業組織的A8+產品,還有專門面向政府組織及事業單位的G6產品。由于出眾的運行能力,該OA系統網站服務器受到眾多用戶的青睞。

擁有了廣泛的用戶基礎,就意味著將擁有不俗的經濟效益,因此其也成為了不法攻擊者眼中的"礦工"良選。

360安全大腦分析顯示,目前攻擊主要針對使用A6及A8產品的網站,在攻擊流程上也基本一致。360安全大腦追蹤數據顯示,網站服務器中招后,基本會呈現四種情況,具體如下:

1. guest 賬戶會被激活。

2. 系統中會新增名為ServiceMains的服務,可通過任務管理器--服務選項卡查看。

3. A8Seeyon.exe(或A6Seeyon.exe)被替換為門羅幣挖礦程序。

4. D:\Seeyon目錄下存在ccc.exe,此程序是名為cpolar的內網穿透工具,入侵者通過此工具可以進行遠程桌面連接。

截止目前,已有多家部署該OA系統的企業網站被控制,淪為不法攻擊者非法獲取利益的工具。如若網站出現上述四類程序,企業用戶需及時前往OA官方網站下載修復補丁,同時下載安裝360安全衛士進行木馬查殺。

非法獲利10萬+門羅幣

360安全大腦獨家披露樣本細節

從360安全大腦追蹤到的樣本細節來看,攻擊者會將包含惡意程序的加密壓縮包,偽裝成png圖片后,定向投放在已被攻陷網站,且為了防止鏈接失效,攻擊者連續設置了6個備份鏈接,以保證中招率。

(攻擊者連續設置備份鏈接詳情)

值得注意的是,360安全大腦發現不法攻擊者會通過讀取注冊表相關項的方式,判斷系統安裝的OA版本。如若發現是A8+產品,會執行A8Install流程;如果是A6+產品,則會執行A6Install流程,而當在注冊表中搜索不到相關信息時,則進入ZDY流程執行。

(ZDY流程執行)

如上文所述,針對不同版本的OA系統,攻擊流程基本一致,都是在文件解壓后,刪除原有文件,替換為惡意挖礦程序。360安全大腦數據顯示,攻擊者會根據OA版本選擇不同的替換文件,其中A8+產品替換A8Seeyon.exe,A6+產品則替換為A6Seeyou.exe,至于無法判斷版本的則會替換為A8Seeyon.exe。完成替換后,原本正常OA組件就會變成門羅幣挖礦病毒程序xmrig-notls.exe,徹底淪為攻擊者非法獲利的工具。

樣本分析過程中,360安全大腦發現攻擊者為了迷惑網站管理員,還會將挖礦程序(System.tmp)注冊為服務程序,并通過sc命令將其修改為極具迷惑性的服務描述。目前,360安全大腦發現針對該OA系統進行挖礦的錢包地址主要有2個,錢包地址具體如下:

從上圖左邊曲線也可以看出,挖礦程序的算力正在持續攀升,也就意味著被攻破網站數量正在攀升,越來越多的網站不知不覺間,已被卷入不法攻擊者的挖礦大業中。對追蹤到的錢包賬戶進行關聯分析后,360安全大腦發現多個相關賬戶,所有賬號內的門羅幣總市值超10萬元。

在發現此次OA網站掛馬事件的第一時間,360安全大腦便對此類木馬展開持續追蹤,目前已可有效進行攔截查殺。值得一提的是,近幾年來,意外遭受網絡侵襲的OA系統其實并非少數,為避免類似威脅態勢繼續蔓延,360安全大腦給出如下安全建議:

1、前往weishi.#,下載安裝360安全衛士,對此類木馬進行有效查殺;

2、定期檢測系統和軟件中的安全漏洞,及時打上補丁;

3、對于殺毒軟件報毒的程序,不要輕易添加信任或退出殺軟運行;

4、提高安全意識,建議從正規渠道下載軟件,如官方網站或360軟件管家等。


360安全衛士

熱點排行

用戶
反饋
返回
頂部
竞博官网登录