首頁  ?  新聞頻道  ?  國內新聞

國家互聯網應急中心:發現處置兩起美對我大型科技企業機構網絡攻擊事件

2025-01-17 14:56:04

來源:中國新聞網

  中新網1月17日電 國家互聯網應急中心官微17日發布報告,發現處置兩起美對我大型科技企業機構網絡攻擊事件。

美網絡攻擊我國某先進材料設計研究院事件調查報告

  2024年12月18日,國家互聯網應急中心CNCERT發布公告(https://www.cert.org.cn/publish/main/8/2024/20241218184234131217571/20241218184234131217571_.html),發現處置兩起美對我大型科技企業機構網絡攻擊事件。本報告將公布對其中我國某先進材料設計研究院的網絡攻擊詳情,為全球相關國家、單位有效發現和防范美網絡攻擊行為提供借鑒。

  一、網絡攻擊流程

  (一)利用漏洞進行攻擊入侵

  2024年8月19日,攻擊者利用該單位電子文件系統注入漏洞入侵該系統,并竊取了該系統管理員賬號/密碼信息。2024年8月21日,攻擊者利用竊取的管理員賬號/密碼登錄被攻擊系統的管理后臺。

  (二)軟件升級管理服務器被植入后門和木馬程序

  2024年8月21日12時,攻擊者在該電子文件系統中部署了后門程序和接收被竊數據的定制化木馬程序。為逃避檢測,這些惡意程序僅存在于內存中,不在硬盤上存儲。木馬程序用于接收從涉事單位被控個人計算機上竊取的敏感文件,訪問路徑為/xxx/xxxx?flag=syn_user_policy。后門程序用于將竊取的敏感文件聚合后傳輸到境外,訪問路徑是/xxx/xxxStats。

  (三)大范圍個人主機電腦被植入木馬

  2024年11月6日、2024年11月8日和2024年11月16日,攻擊者利用電子文檔服務器的某軟件升級功能將特種木馬程序植入到該單位276臺主機中。木馬程序的主要功能一是掃描被植入主機的敏感文件進行竊取。二是竊取受攻擊者的登錄賬密等其他個人信息。木馬程序即用即刪。

  二、竊取大量商業秘密信息

  (一)全盤掃描受害單位主機

  攻擊者多次用中國境內IP跳板登錄到軟件升級管理服務器,并利用該服務器入侵受害單位內網主機,并對該單位內網主機硬盤反復進行全盤掃描,發現潛在攻擊目標,掌握該單位工作內容。

  (二)目的明確地針對性竊取

  2024年11月6日至11月16日,攻擊者利用3個不同的跳板IP三次入侵該軟件升級管理服務器,向個人主機植入木馬,這些木馬已內置與受害單位工作內容高度相關的特定關鍵詞,搜索到包含特定關鍵詞的文件后即將相應文件竊取并傳輸至境外。這三次竊密活動使用的關鍵詞均不相同,顯示出攻擊者每次攻擊前均作了精心準備,具有很強的針對性。三次竊密行為共竊取重要商業信息、知識產權文件共4.98GB。

  三、攻擊行為特點

  (一)攻擊時間

  分析發現,此次攻擊時間主要集中在北京時間22時至次日8時,相對于美國東部時間為白天時間10時至20時,攻擊時間主要分布在美國時間的星期一至星期五,在美國主要節假日未出現攻擊行為。

  (二)攻擊資源

  攻擊者使用的5個跳板IP完全不重復,位于德國和羅馬尼亞等地,反映出其高度的反溯源意識和豐富的攻擊資源儲備。

  (三)攻擊武器

  一是善于利用開源或通用工具偽裝躲避溯源,此次在涉事單位服務器中發現的后門程序為開源通用后門工具。攻擊者為了避免被溯源,大量使用開源或通用攻擊工具。

  二是重要后門和木馬程序僅在內存中運行,不在硬盤中存儲,大大提升了其攻擊行為被我分析發現的難度。

  (四)攻擊手法

  攻擊者攻擊該單位電子文件系統服務器后,篡改了該系統的客戶端分發程序,通過軟件客戶端升級功能,向276臺個人主機投遞木馬程序,快速、精準攻擊重要用戶,大肆進行信息搜集和竊取。以上攻擊手法充分顯示出該攻擊組織的強大攻擊能力。

  四、部分跳板IP列表

美網絡攻擊我國某智慧能源和數字信息大型高科技企業事件調查報告

  2024年12月18日,國家互聯網應急中心CNCERT發布公告(https://www.cert.org.cn/publish/main/8/2024/20241218184234131217571/20241218184234131217571_.html),發現處置兩起美對我大型科技企業機構網絡攻擊事件。本報告將公布對其中我國某智慧能源和數字信息大型高科技企業的網絡攻擊詳情,為全球相關國家、單位有效發現和防范美網絡攻擊行為提供借鑒。

  一、網絡攻擊流程

  (一)利用郵件服務器漏洞進行入侵

  該公司郵件服務器使用微軟Exchange郵件系統。攻擊者利用2個微軟Exchange漏洞進行攻擊,首先利用某任意用戶偽造漏洞針對特定賬戶進行攻擊,然后利用某反序列化漏洞再次進行攻擊,達到執行任意代碼的目標。

  (二)在郵件服務器植入高度隱蔽的內存木馬

  為避免被發現,攻擊者在郵件服務器中植入了2個攻擊武器,僅在內存中運行,不在硬盤存儲。其利用了虛擬化技術,虛擬的訪問路徑為/owa/auth/xxx/xx.aspx和/owa/auth/xxx/yy.aspx,攻擊武器主要功能包括敏感信息竊取、命令執行以及內網穿透等。內網穿透程序通過混淆來逃避安全軟件檢測,將攻擊者流量轉發給其他目標設備,達到攻擊內網其他設備的目的。

  (三)對內網30余臺重要設備發起攻擊

  攻擊者以郵件服務器為跳板,利用內網掃描和滲透手段,在內網中建立隱蔽的加密傳輸隧道,通過SSH、SMB等方式登錄控制該公司的30余臺重要設備并竊取數據。包括個人計算機、服務器和網絡設備等;被控服務器包括,郵件服務器、辦公系統服務器、代碼管理服務器、測試服務器、開發管理服務器和文件管理服務器等。為實現持久控制,攻擊者在相關服務器以及網絡管理員計算機中植入了能夠建立websocket+SSH隧道的攻擊竊密武器,實現了對攻擊者指令的隱蔽轉發和數據竊取。為避免被發現,該攻擊竊密程序偽裝成微信相關程序WeChatxxxxxxxx.exe。攻擊者還在受害服務器中植入了2個利用PIPE管道進行進程間通信的模塊化惡意程序,實現了通信管道的搭建。

  二、竊取大量商業秘密信息

  (一)竊取大量敏感郵件數據

  攻擊者利用郵件服務器管理員賬號執行了郵件導出操作,竊密目標主要是該公司高層管理人員以及重要部門人員。攻擊者執行導出命令時設置了導出郵件的時間區間,有些賬號郵件全部導出,郵件很多的賬號按指定時間區間導出,以減少竊密數據傳輸量,降低被發現風險。

  (二)竊取核心網絡設備賬號及配置信息

  攻擊者通過攻擊控制該公司3名網絡管理員計算機,頻繁竊取該公司核心網絡設備賬號及配置信息。例如,2023年5月2日,攻擊者以位于德國的代理服務器(95.179.XX.XX)為跳板,入侵了該公司郵件服務器后,以郵件服務器為跳板,攻擊了該公司網絡管理員計算機,并竊取了“網絡核心設備配置表”、“核心網絡設備配置備份及巡檢”、“網絡拓撲”、“機房交換機(核心+匯聚)”、“運營商IP地址統計”、“關于采購互聯網控制網關的請示”等敏感文件。

  (三)竊取項目管理文件

  攻擊者通過對該公司的代碼服務器、開發服務器等進行攻擊,頻繁竊取該公司相關開發項目數據。例如,2023年7月26日,攻擊者以位于芬蘭的代理服務器(65.21.XX.XX)為跳板,攻擊控制該公司的郵件服務器后,又以此為跳板,頻繁訪問在該公司代碼服務器中已植入的后門攻擊武器,竊取數據達1.03GB。為避免被發現,該后門程序偽裝成開源項目“禪道”中的文件“tip4XXXXXXXX.php”。

  (四)清除攻擊痕跡并進行反取證分析

  為避免被發現,攻擊者每次攻擊后,都會清除計算機日志中攻擊痕跡,并刪除攻擊竊密過程中產生的臨時打包文件。攻擊者還會查看系統審計日志、歷史命令記錄、SSH相關配置等,意圖分析機器被取證情況,對抗網絡安全檢測。

  三、攻擊行為特點

  (一)攻擊時間

  分析發現,此次攻擊活動主要集中在北京時間22時至次日8時,相對于美國東部時間為白天10時至20時,攻擊時間主要分布在美國時間的星期一至星期五,在美國主要節假日未出現攻擊行為。

  (二)攻擊資源

  2023年5月至2023年10月,攻擊者發起了30余次網絡攻擊,攻擊者使用的境外跳板IP基本不重復,反映出其高度的反溯源意識和豐富的攻擊資源儲備。

  (三)攻擊武器

  攻擊者植入的2個用于PIPE管道進程通信的模塊化惡意程序位于“c:\windows\system32\”下,使用了.net框架,編譯時間均被抹除,大小為數十KB,以TLS加密為主。郵件服務器內存中植入的攻擊武器主要功能包括敏感信息竊取、命令執行以及內網穿透等。在相關服務器以及網絡管理員計算機中植入的攻擊竊密武器,使用https協議,可以建立websocket+SSH隧道,會回連攻擊者控制的某域名。

  四、部分跳板IP列表

  • 相關閱讀
  • 外交部:中國政府堅決打擊電信網絡詐騙犯罪和跨境違法犯罪活動

      1月17日,外交部發言人郭嘉昆主持例行記者會。有記者就跨境電信詐騙相關問題提問。  郭嘉昆表示,1月16日,中共中央政治局委員、外交部長王毅在北京會見東盟10國駐華使節時表示,近期在泰緬邊境一帶連續發生網、賭、電...

    時間:01-17
  • “添綠賀喜”成文明新風 廣東大地山川更綠家園更美

      中新網廣州1月17日電 (記者 程景偉)2024年,廣東從春節后復工便迅速掀起春季造林綠化高潮,持續組織開展義務植樹活動超2.45萬場次,推動綠美廣東生態建設邁向新階段。植物活動現場(資料圖)。廣東省林業局 供圖  據廣...

    時間:01-17
  • 汪一光、李建中當選湖南省政協副主席

      中新網長沙1月17日電 (記者 鄧霞)1月17日,政協湖南省第十三屆委員會第三次會議舉行第三次全體會議,進行大會選舉。會議選舉汪一光、李建中為第十三屆湖南省政協副主席。  公開資料顯示,汪一光,男,漢族,1965年3月生,省...

    時間:01-17
  • 孟加拉國臨時政府外交顧問圖希德將訪華

      外交部發言人宣布:  應中共中央政治局委員、外交部長王毅邀請,孟加拉國臨時政府外交顧問圖希德將于1月20日至24日訪問中國。...

    時間:01-17
  • 丁薛祥將出席世界經濟論壇2025年年會并訪問瑞士、荷蘭

      外交部發言人宣布:  應世界經濟論壇創始人兼董事會主席施瓦布和瑞士、荷蘭政府邀請,中共中央政治局常委、國務院副總理丁薛祥將于1月19日至24日赴瑞士達沃斯出席世界經濟論壇2025年年會并訪問瑞士、荷蘭。...

    時間:01-17
  • 2024年江西安排13.3億元推動養老服務體系建設

      中新網南昌1月17日電 (記者 李韻涵)正在召開的江西省兩會上,江西省財政廳廳長黃平就江西省2024年全省和省級預算執行情況與2025年全省和省級預算草案作書面報告。他表示,2024年,江西安排13.3億元推動養老服務體系建...

    時間:01-17
  • 江西今年計劃實施4605個省大中型項目 總投資1.2萬億元左右

      中新網南昌1月17日電 (朱瑩)2025年江西將著力擴大有效益的投資,不斷夯實經濟增長支撐。今年實施省大中型項目4605個,具體項目清單實行動態管理,年度計劃完成投資1.2萬億元左右。  正在召開的江西省兩會上,江西省發...

    時間:01-17
  • 截至2024年底中國新能源汽車保有量達3140萬輛

      中新社北京1月17日電 (記者 郭超凱)記者17日從中國公安部獲悉,截至2024年底,全國新能源汽車保有量達3140萬輛。2014年底,這個數據是12萬。  據統計,2024年全國有96個城市的汽車保有量超過百萬輛,與2023年相比增加2個...

    時間:01-17
  • 中國成功發射巴基斯坦PRSC-EO1衛星等3顆衛星

      中新社北京1月17日電 (記者 馬帥莎)北京時間1月17日12時7分,中國在酒泉衛星發射中心使用長征二號丁運載火箭,成功將巴基斯坦PRSC-EO1衛星、天路一號衛星和藍碳一號衛星發射升空,衛星順利進入預定軌道,發射任務獲得圓...

    時間:01-17
免責聲明:本網對文中陳述、觀點判斷保持中立,不對所包含內容的準確性、可靠性或完整性提供任何明示或暗示的保證。請讀者僅作參考,并請自行承擔全部責任。 本網站轉載圖片、文字之類版權申明,本網站無法鑒別所上傳圖片或文字的知識版權,如果侵犯,請及時通知我們,本網站將在第一時間及時刪除。
主站蜘蛛池模板: 日韩精品欧美亚洲高清有无| 紧扣的星星完整版免费观看| 国产精品蜜臂在线观看| 一本色道久久综合网| 日本亚洲精品色婷婷在线影院| 亚洲国产精品一区二区久久 | 久久精品视频99精品视频150| 欧美日韩在线国产| 体育生开房互操| 精品日本一区二区三区在线观看| 国产农村妇女一级毛片视频片| jizzjizz视频| 国产色综合一区二区三区| h视频在线免费看| 性高湖久久久久久久久aaaaa| 久久久久亚洲av成人网人人软件 | 国产av熟女一区二区三区| 黄色性生活毛片| 国产熟女乱子视频正在播放| 2345成人高清毛片| 国语精品91自产拍在线观看二区| √天堂资源中文官网bt| 成人网站在线进入爽爽爽| 久久久久久久99精品国产片| 日韩成人在线网站| 九九热视频在线播放| 欧美亚洲国产激情一区二区| 亚洲成a人无码| 欧美精品黑人粗大视频| 亚洲精品无码不卡| 玉蒲团之风雨山庄| 免费大片黄国产在线观看| 精品免费人成视频APP| 双女车车好快的车车有点污 | 天天综合天天综合| 一个人看的免费高清视频www| 性做久久久久久| 两个美女脱了内裤互摸网沾| 成人精品国产亚洲欧洲| 中文字幕日本最新乱码视频| 无翼日本全彩漫画大全全彩|