致远OA官网被入侵挂马预警

      一、 基本情况

致远OA官网被入侵，且其中一个页面被植入了木马，攻击者在对泛微OA系统攻击时，该页面地址被用作木马下载URL。

      二、 攻击原理

日前，泛微OA系统被曝出一个高危漏洞，攻击者可以利用该漏洞未授权访问系统，并直接在目标服务器上执行任意命令。

随着漏洞细节的披露，近几日针对暴露在网络中的泛微OA系统的攻击变得更为活跃。据监测从上周六起，针对泛微OA系统的攻击呈爆炸式增长，同时，监测到一起从另一家OA企业—致远官网“下手”的挂马攻击案例。

在这起案例中，攻击者入侵泛微OA系统后，通过微软合法程序certutil.exe下载恶意文件到被入侵服务器中，而下载URL为cape.seeyon.com/seeyon/H5/apps/*，该URL地址指向服务器正是致远OA官网。这就意味着，攻击者已经成功入侵了致远OA官网，并在其中一个页面中植入了木马，在对泛微OA系统的攻击时将该页面地址作为木马下载URL。

经过进一步分析，该木马文件基于开源渗透测试工具PowerLine修改而成(http://github.com/fullmetalcache/PowerLine)。攻击者只需要在配置文件UserConf.xml 中进行设置，就能使PowerLine在不启动PowerShell的情况下执行其中的PowerShell代码。

      三、 影响范围

受影响网站：致远OA官网

      四、 处置建议

鉴于近期针对OA类系统的攻击事件频发，并且此次攻击涉及的用户众多，建议措施如下：

1）请泛微OA系统的管理员，及时到泛微OA官网下载安装安全补丁www.weaver.com.cn/cs/securityDownload.asp；

2）另外，特别提醒致远OA官方检查其官网安全状况，及时删除存在风险的文件。

      五、 参考链接

1）http://www.seeyon.com/home/Tiyan/index.html?PZ-pc-top

2）https://github.com/fullmetalcache/PowerLine