黑客通过「用友畅捷通T+」实施勒索攻击：索要 2.8 万元

2022年8月29日，微博网友@看繁华落尽_68824 发布微博称：今天用友畅捷通T+大面积中了勒索病毒，也不给个说法？@畅捷通@用友

不少网友留言表示遇到了类似的情况：

畅捷通发布的《2022年半年报》显示：营收3.35亿元人民币，同比增长56%，实现毛利2.06亿元，较上年同期增长41%。

畅捷通SaaS订阅收入1.78亿元。云服务业务新增付费企业用户数达到6.2万；云服务业务累计付费企业用户数达到45.9万。

@360安全卫士 同时发布微博称《某流行企业财务软件0day漏洞或被大规模勒索利用！》，根据360漏洞云的漏洞情报分析，自2022年08月28日起，目前确认来自该勒索病毒的攻击案例已超2000余例，且该数量仍在不断上涨。（云头条查看发现，目前该贴已删除）。

@ 火绒安全实验室 发布文章称：疑似借助用友畅捷通T+的勒索攻击爆发，火绒安全可查杀。

火绒安全实验室监测，疑似借助用友畅捷通T+传播的勒索病毒模块异常活跃（FakeTplus病毒）。

火绒工程师排查某勒索现场时发现，病毒模块的投放时间与受害者使用的用友畅捷通T+软件模块升级时间相近，不排除黑客通过供应链污染或漏洞的方式进行投毒。火绒安全软件可成功查杀该病毒。

火绒安全查杀图

根据火绒威胁情报系统统计得出病毒传播趋势，如下图所示：

FakeTplus病毒传播趋势图

在被投毒的现场中可以看到，后门病毒模块位于用友畅捷通T+软件的bin目录中，相关文件情况如下图所示：

被投毒现场后门病毒模块文件位置情况

某被投毒现场中，后门病毒模块的被投放时间，与受害用户使用的用友畅捷通T+软件模块升级时间相近，畅捷通T+软件更新的文件和恶意模块的时间对比图，如下图所示：

时间对比图

被勒索后，需要支付0.2个比特币（目前大概28011.28人民币），黑客留下的勒索信，如下图所示：

勒索信

后门模块代码逻辑

附录

病毒 HASH：

火绒安全实验室全文：https://mp.weixin.qq.com/s/nBt98mn5zbLkTeDIPPz78g