杰润鸿远(北京)科技有限公司 杰润鸿远(北京)科技有限公司
  • 首页
  • 安全产品
    • 互联网威胁监测平台
    • 全流量溯源分析系统
    • 日志智能分析平台
    • 态势感知及自动化处置平台
    • 定制开发
  • 安全服务
    • 等保建设
    • 风险评估
    • 渗透测试
    • 代码审计
    • 安全保障
  • 新闻动态
    • 行业新闻
    • 安全预警
  • 关于我们
服务热线: 010-68213797
简体中文
  • 简体中文
  • 繁體中文
  • English
  • 首页
  • 安全产品
    • 互联网威胁监测平台
    • 全流量溯源分析系统
    • 日志智能分析平台
    • 态势感知及自动化处置平台
    • 定制开发
  • 安全服务
    • 等保建设
    • 风险评估
    • 渗透测试
    • 代码审计
    • 安全保障
  • 新闻动态
    • 行业新闻
    • 安全预警
  • 关于我们
  • 翻 译
  • 简体中文
  • 繁體中文
  • English

安全预警

首页 > 新闻动态 > 安全预警

【态势情报】Weaxor勒索病毒家族攻击分析与应急响应

作者:杰润鸿远 发布时间:2025-09-12 点击数:

事件摘要

2025年4月6日至4月13日,Weaxor勒索病毒家族通过利用用友U8Cloud系统的历史文件上传漏洞,实施了一次针对企业的勒索攻击。攻击者上传了冰蝎JSP内存马后门,获取了目标服务器的控制权限,并执行了加密程序,导致多个文件被加密,后缀为.roxaew。此次事件共涉及46起相关事件,Weaxor家族在其中占比约41%。攻击者在加密完成后清除相关日志以规避取证,且在进一步排查中发现受影响的java.exe文件被植入挖矿组件,显示出攻击者的多重非法操作。最终,受害企业通过用友官方漏洞检测工具确认了系统存在的漏洞,并进行了补丁修复。

事件概况

事件时间:2025-04	 
目标国家/地区:中国
事件类型:勒索软件事件 数据泄露事件
目标行业:科技、金融服务
事件影响:勒索 系统瘫痪 业务中断
目标机构:用友网络科技股份有限公司
情报来源:weixin.qq.com
黑客组织:Weaxor、Mallox

关键结论

事件背景

在2025年,Solar应急响应团队接到多起勒索病毒事件的排查需求,累计排查112起事件。其中,Weaxor勒索家族最为活跃,发生46起,占比约41%。受害系统的加密文件后缀以".roxaew"为主,表明该家族持续更新迭代。攻击者利用用友U8Cloud系统的历史文件上传漏洞,上传后门程序,获取目标服务器控制权限,并执行加密程序,清除日志以规避取证。

攻击概要

此次事件中,攻击者利用用友U8Cloud系统的历史文件上传漏洞,上传了包含"冰蝎"JSP内存马的恶意文件,获取了服务器控制权限。随后,攻击者执行名为VMwhUif.exe的加密器,对服务器数据进行加密,并清除操作日志。分析发现,java.exe文件体积异常,且被植入挖矿组件,存在恶意外联行为。Weaxor勒索病毒会将".rox"扩展名附加到受感染文件,并留下勒索信,信中包含暗网地址,受害者可通过该地址进行一对一聊天。该病毒与mallox家族相似,存在多项技术细节上的一致性。

事件影响

此次勒索病毒事件的发生原因主要是由于用友U8Cloud系统存在历史漏洞,攻击者利用该漏洞成功入侵并加密数据。事件影响包括数据丢失、业务中断以及潜在的财务损失。攻击者在入侵后可能同时植入挖矿组件,开展多重非法操作,进一步加剧了安全风险。

应对措施

针对该安全事件,建议采取以下应对措施:定期进行漏洞检测,及时修复系统、数据库及中间件的安全补丁;对业务系统进行全面端口扫描,关闭非必要的对外开放端口;实施强口令策略,定期更换口令并启用双因素认证;部署Web应用防火墙,拦截常见攻击请求;定期审查日志,实时监控可疑流量,确保及时发现异常行为。

攻击技战术

攻击手法(7)

威胁防范

处置建议(6)


Tag: 安全情报 漏洞预警 漏洞情报
上一篇:Wing FTP Server 曝CVSS 10.0 远程代
下一篇:【漏洞通告】Gitblit 身份认证绕过漏洞
返回列表

安全预警

  • Wing FTP Server 曝CVSS 10.0 远程代码执行漏洞(CVE-2025-47812),可实现完全控制,PoC 已公开
  • Microsoft Outlook 漏洞可导致攻击者远程执行任意代码
  • 【态势情报】Weaxor勒索病毒家族攻击分析与应急响应
  • 【漏洞通告】Gitblit 身份认证绕过漏洞
  • Oracle E-Business Suite 远程代码执行漏洞(CVE-2025-61882)
  • Anthropic MCP Server 曝路径穿越与符号链接漏洞:可被远程利用实现代码执行
  • 关于防范PS1Bot恶意软件的风险提示
  • 关于防范苹果公司iOS/iPadOS/macOS越界写入高危漏洞的风险提示
  • Kubernetes信任管理问题漏洞
  • Redis Lua 脚本引擎远程代码执行漏洞(CVE-2025-49844)
杰润鸿远(北京)科技有限公司
  • 首页

  • 安全产品

    • 互联网威胁监测平台
    • 全流量溯源分析系统
    • 日志智能分析平台
    • 态势感知及自动化处置平台
    • 定制开发
  • 安全服务

    • 等保建设
    • 风险评估
    • 渗透测试
    • 代码审计
    • 安全保障
  • 新闻动态

    • 行业新闻
    • 安全预警
  • 关于我们

北京市海淀区西八里庄路69号8层804、805室

010-68213797

周一到周五9:30-17:00

北京市海淀区西八里庄路69号8层804、805室

010-68213797

周一到周五9:30-17:00

杰润鸿远(北京)科技有限公司
Copyright 2025 - 杰润鸿远(北京)科技有限公司 
京ICP备17028264号    
国徽 京公网安备 11010802035508号