借OA漏洞入侵企業網站，360安全大腦力破“非法挖礦案”

作為協作交流的重要平臺，OA系統有效提高了員工的辦公效率和企業的經濟效益，成為企業數字化建設的代名詞。但一旦OA系統遭受網路攻擊，企業將可能面臨不可估量的重創。

近日，360安全大腦監測到國內知名協同管理軟體——致遠OA網站出現掛馬情況，不法攻擊者疑似利用該OA系統曝出的GetShell漏洞實施入侵活動。

360安全大腦追蹤發現，不法攻擊者入侵後，會將該OA網站正常元件程式替換為門羅幣挖礦病毒程式，進而利用網站伺服器的高速執行能力挖礦，非法獲取不正當利益。截止目前，攻擊者挖取到的門羅幣總價值超過10萬人民幣。

對此，360安全大腦已針對此類木馬進行了全方位的查殺和攔截，特別提醒廣大使用者需提高警惕。

OA漏洞慘遭木馬利用

企業網站慘變挖礦“機”

此次意外中招的致遠OA系統是一款國內知名的協同管理軟體，不僅擁有面向中小企業組織的A6+產品，面向中大型企業和集團性企業組織的A8+產品，還有專門面向政府組織及事業單位的G6產品。由於出眾的執行能力，該OA系統網站伺服器受到眾多使用者的青睞。

擁有了廣泛的使用者基礎，就意味著將擁有不俗的經濟效益，因此其也成為了不法攻擊者眼中的“礦工”良選。

360安全大腦分析顯示，目前攻擊主要針對使用A6及A8產品的網站，在攻擊流程上也基本一致。360安全大腦追蹤資料顯示，網站伺服器中招後，基本會呈現四種情況，具體如下：

1. guest 賬戶會被啟用。

2. 系統中會新增名為ServiceMains的服務，可透過工作管理員--服務選項卡檢視。

3. A8Seeyon.exe（或A6Seeyon.exe）被替換為門羅幣挖礦程式。

4. D:\Seeyon目錄下存在ccc.exe，此程式是名為cpolar的內網穿透工具，入侵者透過此工具可以進行遠端桌面連線。

截止目前，已有多家部署該OA系統的企業網站被控制，淪為不法攻擊者非法獲取利益的工具。如若網站出現上述四類程式，企業使用者需及時前往OA官方網站下載修復補丁，同時下載安裝360安全衛士進行木馬查殺。

非法獲利10萬+門羅幣

360安全大腦獨家披露樣本細節

從360安全大腦追蹤到的樣本細節來看，攻擊者會將包含惡意程式的加密壓縮包，偽裝成png圖片後，定向投放在已被攻陷網站，且為了防止連結失效，攻擊者連續設定了6個備份連結，以保證中招率。

(攻擊者連續設定備份連結詳情)

值得注意的是，360安全大腦發現不法攻擊者會透過讀取登錄檔相關項的方式，判斷系統安裝的OA版本。如若發現是A8+產品，會執行A8Install流程；如果是A6+產品，則會執行A6Install流程，而當在登錄檔中搜尋不到相關資訊時，則進入ZDY流程執行。

（ZDY流程執行）

如上文所述，針對不同版本的OA系統，攻擊流程基本一致，都是在檔案解壓後，刪除原有檔案，替換為惡意挖礦程式。360安全大腦資料顯示，攻擊者會根據OA版本選擇不同的替換檔案，其中A8+產品替換A8Seeyon.exe，A6+產品則替換為A6Seeyou.exe，至於無法判斷版本的則會替換為A8Seeyon.exe。完成替換後，原本正常OA元件就會變成門羅幣挖礦病毒程式xmrig-notls.exe，徹底淪為攻擊者非法獲利的工具。

樣本分析過程中，360安全大腦發現攻擊者為了迷惑網站管理員，還會將挖礦程式(System.tmp)註冊為服務程式，並透過sc命令將其修改為極具迷惑性的服務描述。目前，360安全大腦發現針對該OA系統進行挖礦的錢包地址主要有2個，錢包地址具體如下：

從上圖左邊曲線也可以看出，挖礦程式的算力正在持續攀升，也就意味著被攻破網站數量正在攀升，越來越多的網站不知不覺間，已被捲入不法攻擊者的挖礦大業中。對追蹤到的錢包賬戶進行關聯分析後，360安全大腦發現多個相關賬戶，所有賬號內的門羅幣總市值超10萬元。

在發現此次OA網站掛馬事件的第一時間，360安全大腦便對此類木馬展開持續追蹤，目前已可有效進行攔截查殺。值得一提的是，近幾年來，意外遭受網路侵襲的OA系統其實並非少數，為避免類似威脅態勢繼續蔓延，360安全大腦給出如下安全建議：

1、前往weishi.360.cn，下載安裝360安全衛士，對此類木馬進行有效查殺；

2、定期檢測系統和軟體中的安全漏洞，及時打上補丁；

3、對於防毒軟體報毒的程式，不要輕易新增信任或退出殺軟執行；

4、提高安全意識，建議從正規渠道下載軟體，如官方網站或360軟體管家等。