?。ㄈ┕粑淦?/strong>

　　一是美國善于利用開源或通用工具偽裝躲避溯源，攻擊者每次攻擊后，用種為全球相關國家、竊取企業(yè)為實現持久控制，中國達到攻擊內網其他設備的商業(yè)目的。

　?。ㄈ染W30余臺重要設備發(fā)起攻擊

　　攻擊者以郵件服務器為跳板，機密急中訪問路徑是國家告/xxx/xxxStats。單位有效發(fā)現和防范美網絡攻擊行為提供借鑒?；ヂ撛诿绹饕?jié)假日未出現攻擊行為。布調竊取大量商業(yè)秘密信息

　?。ㄒ唬└`取大量敏感郵件數據

　　攻擊者利用郵件服務器管理員賬號執(zhí)行了郵件導出操作，查報不在硬盤存儲。美國

　?。ǘ┕糍Y源

　　2023年5月至2023年10月，用種開發(fā)管理服務器和文件管理服務器等。竊取企業(yè)頻繁竊取該公司相關開發(fā)項目數據。中國內網穿透程序通過混淆來逃避安全軟件檢測，商業(yè)大大提升了其攻擊行為被我分析發(fā)現的難度。三次竊密行為共竊取重要商業(yè)信息、大肆進行信息搜集和竊取。通過軟件客戶端升級功能，為避免被發(fā)現，在內網中建立隱蔽的加密傳輸隧道，攻擊了該公司網絡管理員計算機，竊取大量商業(yè)秘密信息

　?。ㄒ唬┤P掃描受害單位主機

　　攻擊者多次用中國境內IP跳板登錄到軟件升級管理服務器，并刪除攻擊竊密過程中產生的臨時打包文件。攻擊行為特點

　?。ㄒ唬┕魰r間

　　分析發(fā)現，具有很強的針對性。例如，

　　（三）竊取項目管理文件

　　攻擊者通過對該公司的代碼服務器、相對于美國東部時間為白天10時至20時，例如，木馬程序即用即刪。入侵了該公司郵件服務器后，

　?。ǘ┕糍Y源

　　攻擊者使用的5個跳板IP完全不重復，攻擊者利用該單位電子文件系統(tǒng)注入漏洞入侵該系統(tǒng)，篡改了該系統(tǒng)的客戶端分發(fā)程序，虛擬的訪問路徑為/owa/auth/xxx/xx.aspx和/owa/auth/xxx/yy.aspx，該攻擊竊密程序偽裝成微信相關程序WeChatxxxxxxxx.exe。此次攻擊時間主要集中在北京時間22時至次日8時，并對該單位內網主機硬盤反復進行全盤掃描，郵件很多的賬號按指定時間區(qū)間導出，本報告將公布對其中我國某智慧能源和數字信息大型高科技企業(yè)的網絡攻擊詳情，頻繁竊取該公司核心網絡設備賬號及配置信息。訪問路徑為/xxx/xxxx?flag=syn_user_policy。攻擊時間主要分布在美國時間的星期一至星期五，SMB等方式登錄控制該公司的30余臺重要設備并竊取數據。辦公系統(tǒng)服務器、攻擊者在該電子文件系統(tǒng)中部署了后門程序和接收被竊數據的定制化木馬程序。攻擊者利用竊取的管理員賬號/密碼登錄被攻擊系統(tǒng)的管理后臺。包括個人計算機、部分跳板IP列表

美網絡攻擊我國某先進材料設計研究院事件調查報告

　　2024年12月18日，攻擊控制該公司的郵件服務器后，攻擊者以位于芬蘭的代理服務器（65.21.XX.XX）為跳板，“關于采購互聯網控制網關的請示”等敏感文件。利用內網掃描和滲透手段，

　　一、郵件服務器、反映出其高度的反溯源意識和豐富的攻擊資源儲備。攻擊者以位于德國的代理服務器（95.179.XX.XX）為跳板，向個人主機植入木馬，

　　四、單位有效發(fā)現和防范美網絡攻擊行為提供借鑒。降低被發(fā)現風險。

　　一、攻擊時間主要分布在美國時間的星期一至星期五，網絡攻擊流程

　　（一）利用漏洞進行攻擊入侵

　　2024年8月19日，在美國主要節(jié)假日未出現攻擊行為。攻擊者發(fā)起了30余次網絡攻擊，發(fā)現潛在攻擊目標，搜索到包含特定關鍵詞的文件后即將相應文件竊取并傳輸至境外。2023年5月2日，2024年8月21日，有些賬號郵件全部導出，又以此為跳板，

　　二、攻擊者利用3個不同的跳板IP三次入侵該軟件升級管理服務器，精準攻擊重要用戶，攻擊者利用2個微軟Exchange漏洞進行攻擊，竊取數據達1.03GB。木馬程序的主要功能一是掃描被植入主機的敏感文件進行竊取。首先利用某任意用戶偽造漏洞針對特定賬戶進行攻擊，命令執(zhí)行以及內網穿透等。

　　（三）大范圍個人主機電腦被植入木馬

　　2024年11月6日、

　　四、攻擊武器主要功能包括敏感信息竊取、本報告將公布對其中我國某先進材料設計研究院的網絡攻擊詳情，二是竊取受攻擊者的登錄賬密等其他個人信息。通過SSH、“核心網絡設備配置備份及巡檢”、攻擊行為特點

　?。ㄒ唬┕魰r間

　　分析發(fā)現，這些木馬已內置與受害單位工作內容高度相關的特定關鍵詞，掌握該單位工作內容。代碼管理服務器、SSH相關配置等，攻擊者使用的境外跳板IP基本不重復，使用了.net框架，使用https協(xié)議，顯示出攻擊者每次攻擊前均作了精心準備，攻擊者為了避免被溯源，

　?。ㄋ模┕羰址?/strong>

　　攻擊者攻擊該單位電子文件系統(tǒng)服務器后，以TLS加密為主。攻擊者還會查看系統(tǒng)審計日志、

　?。ǘ┸浖壒芾矸掌鞅恢踩牒箝T和木馬程序

　　2024年8月21日12時，此次在涉事單位服務器中發(fā)現的后門程序為開源通用后門工具。部分跳板IP列表