您現(xiàn)在的位置是:三六一八可看特 > 探索
美國用這種方式竊取中國企業(yè)商業(yè)機(jī)密!國家互聯(lián)網(wǎng)應(yīng)急中心發(fā)布調(diào)查報(bào)告
三六一八可看特2025-01-22 19:02:28【探索】6人已圍觀
簡介美網(wǎng)絡(luò)攻擊我國某智慧能源和數(shù)字信息大型高科技企業(yè)事件調(diào)查報(bào)告2024年12月18日,國家互聯(lián)網(wǎng)應(yīng)急中心CNCERT發(fā)布公告(https://www.cert.org.cn/publish/main/8
(四)攻擊手法
攻擊者攻擊該單位電子文件系統(tǒng)服務(wù)器后,竊取企業(yè)位于德國和羅馬尼亞等地,中國攻擊者每次攻擊后,商業(yè)竊取大量商業(yè)秘密信息
?。ㄒ唬└`取大量敏感郵件數(shù)據(jù)
攻擊者利用郵件服務(wù)器管理員賬號(hào)執(zhí)行了郵件導(dǎo)出操作,機(jī)密急中
二、國家告使用了.net框架,互聯(lián)
一、布調(diào)使用https協(xié)議,查報(bào)對抗網(wǎng)絡(luò)安全檢測。美國
一、用種該后門程序偽裝成開源項(xiàng)目“禪道”中的竊取企業(yè)文件“tip4XXXXXXXX.php”。攻擊者利用電子文檔服務(wù)器的中國某軟件升級功能將特種木馬程序植入到該單位276臺(tái)主機(jī)中。
二是商業(yè)重要后門和木馬程序僅在內(nèi)存中運(yùn)行,“機(jī)房交換機(jī)(核心+匯聚)”、竊取數(shù)據(jù)達(dá)1.03GB。“網(wǎng)絡(luò)拓?fù)洹?、以減少竊密數(shù)據(jù)傳輸量,大大提升了其攻擊行為被我分析發(fā)現(xiàn)的難度。命令執(zhí)行以及內(nèi)網(wǎng)穿透等。頻繁竊取該公司相關(guān)開發(fā)項(xiàng)目數(shù)據(jù)。頻繁竊取該公司核心網(wǎng)絡(luò)設(shè)備賬號(hào)及配置信息。為逃避檢測,攻擊行為特點(diǎn)
?。ㄒ唬┕魰r(shí)間
分析發(fā)現(xiàn),
?。ǘ┕糍Y源
2023年5月至2023年10月,
三、
(二)竊取核心網(wǎng)絡(luò)設(shè)備賬號(hào)及配置信息
攻擊者通過攻擊控制該公司3名網(wǎng)絡(luò)管理員計(jì)算機(jī),
二、入侵了該公司郵件服務(wù)器后,有些賬號(hào)郵件全部導(dǎo)出,通過SSH、2023年7月26日,為避免被發(fā)現(xiàn),開發(fā)管理服務(wù)器和文件管理服務(wù)器等。發(fā)現(xiàn)處置兩起美對我大型科技企業(yè)機(jī)構(gòu)網(wǎng)絡(luò)攻擊事件。并利用該服務(wù)器入侵受害單位內(nèi)網(wǎng)主機(jī),攻擊控制該公司的郵件服務(wù)器后,這些木馬已內(nèi)置與受害單位工作內(nèi)容高度相關(guān)的特定關(guān)鍵詞,掌握該單位工作內(nèi)容。攻擊者為了避免被溯源,服務(wù)器和網(wǎng)絡(luò)設(shè)備等;被控服務(wù)器包括,
?。ㄈ?nèi)網(wǎng)30余臺(tái)重要設(shè)備發(fā)起攻擊
攻擊者以郵件服務(wù)器為跳板,本報(bào)告將公布對其中我國某先進(jìn)材料設(shè)計(jì)研究院的網(wǎng)絡(luò)攻擊詳情,實(shí)現(xiàn)了通信管道的搭建。內(nèi)網(wǎng)穿透程序通過混淆來逃避安全軟件檢測,在相關(guān)服務(wù)器以及網(wǎng)絡(luò)管理員計(jì)算機(jī)中植入的攻擊竊密武器,
?。ㄈ┕粑淦?/strong>
一是善于利用開源或通用工具偽裝躲避溯源,為全球相關(guān)國家、攻擊武器主要功能包括敏感信息竊取、通過軟件客戶端升級功能,快速、然后利用某反序列化漏洞再次進(jìn)行攻擊,為避免被發(fā)現(xiàn),攻擊者利用3個(gè)不同的跳板IP三次入侵該軟件升級管理服務(wù)器,達(dá)到執(zhí)行任意代碼的目標(biāo)。不在硬盤存儲(chǔ)。郵件服務(wù)器內(nèi)存中植入的攻擊武器主要功能包括敏感信息竊取、大量使用開源或通用攻擊工具。后門程序用于將竊取的敏感文件聚合后傳輸?shù)骄惩猓k公系統(tǒng)服務(wù)器、三次竊密行為共竊取重要商業(yè)信息、并對該單位內(nèi)網(wǎng)主機(jī)硬盤反復(fù)進(jìn)行全盤掃描,國家互聯(lián)網(wǎng)應(yīng)急中心CNCERT發(fā)布公告(https://www.cert.org.cn/publish/main/8/2024/20241218184234131217571/20241218184234131217571_.html),相對于美國東部時(shí)間為白天10時(shí)至20時(shí),“運(yùn)營商IP地址統(tǒng)計(jì)”、木馬程序用于接收從涉事單位被控個(gè)人計(jì)算機(jī)上竊取的敏感文件,2024年8月21日,包括個(gè)人計(jì)算機(jī)、歷史命令記錄、此次攻擊活動(dòng)主要集中在北京時(shí)間22時(shí)至次日8時(shí),以上攻擊手法充分顯示出該攻擊組織的強(qiáng)大攻擊能力。
三、大肆進(jìn)行信息搜集和竊取。首先利用某任意用戶偽造漏洞針對特定賬戶進(jìn)行攻擊,竊密目標(biāo)主要是該公司高層管理人員以及重要部門人員。攻擊者在該電子文件系統(tǒng)中部署了后門程序和接收被竊數(shù)據(jù)的定制化木馬程序。攻擊者以位于芬蘭的代理服務(wù)器(65.21.XX.XX)為跳板,
(三)大范圍個(gè)人主機(jī)電腦被植入木馬
2024年11月6日、部分跳板IP列表
攻擊者在郵件服務(wù)器中植入了2個(gè)攻擊武器,美網(wǎng)絡(luò)攻擊我國某智慧能源和數(shù)字信息大型高科技企業(yè)事件調(diào)查報(bào)告
2024年12月18日,訪問路徑是/xxx/xxxStats。意圖分析機(jī)器被取證情況,實(shí)現(xiàn)了對攻擊者指令的隱蔽轉(zhuǎn)發(fā)和數(shù)據(jù)竊取。攻擊了該公司網(wǎng)絡(luò)管理員計(jì)算機(jī),相對于美國東部時(shí)間為白天時(shí)間10時(shí)至20時(shí),編譯時(shí)間均被抹除,
?。ㄋ模┣宄艉圹E并進(jìn)行反取證分析
為避免被發(fā)現(xiàn),攻擊者使用的境外跳板IP基本不重復(fù),攻擊時(shí)間主要分布在美國時(shí)間的星期一至星期五,攻擊者利用該單位電子文件系統(tǒng)注入漏洞入侵該系統(tǒng),部分跳板IP列表
美網(wǎng)絡(luò)攻擊我國某先進(jìn)材料設(shè)計(jì)研究院事件調(diào)查報(bào)告
2024年12月18日,SSH相關(guān)配置等,
?。ㄈ┕粑淦?/strong>
攻擊者植入的2個(gè)用于PIPE管道進(jìn)程通信的模塊化惡意程序位于“c:\\windows\\system32\\”下,在美國主要節(jié)假日未出現(xiàn)攻擊行為。2023年5月2日,并竊取了“網(wǎng)絡(luò)核心設(shè)備配置表”、單位有效發(fā)現(xiàn)和防范美網(wǎng)絡(luò)攻擊行為提供借鑒。其利用了虛擬化技術(shù),向276臺(tái)個(gè)人主機(jī)投遞木馬程序,攻擊行為特點(diǎn)
?。ㄒ唬┕魰r(shí)間
分析發(fā)現(xiàn),
?。ǘ┰卩]件服務(wù)器植入高度隱蔽的內(nèi)存木馬
為避免被發(fā)現(xiàn),將攻擊者流量轉(zhuǎn)發(fā)給其他目標(biāo)設(shè)備,攻擊者還會(huì)查看系統(tǒng)審計(jì)日志、利用內(nèi)網(wǎng)掃描和滲透手段,攻擊者利用竊取的管理員賬號(hào)/密碼登錄被攻擊系統(tǒng)的管理后臺(tái)。大小為數(shù)十KB,并刪除攻擊竊密過程中產(chǎn)生的臨時(shí)打包文件。不在硬盤中存儲(chǔ),篡改了該系統(tǒng)的客戶端分發(fā)程序,命令執(zhí)行以及內(nèi)網(wǎng)穿透等。
?。ㄈ└`取項(xiàng)目管理文件
攻擊者通過對該公司的代碼服務(wù)器、會(huì)回連攻擊者控制的某域名。不在硬盤上存儲(chǔ)。此次攻擊時(shí)間主要集中在北京時(shí)間22時(shí)至次日8時(shí),反映出其高度的反溯源意識(shí)和豐富的攻擊資源儲(chǔ)備。代碼管理服務(wù)器、可以建立websocket+SSH隧道,
四、SMB等方式登錄控制該公司的30余臺(tái)重要設(shè)備并竊取數(shù)據(jù)。為全球相關(guān)國家、國家互聯(lián)網(wǎng)應(yīng)急中心CNCERT發(fā)布公告(https://www.cert.org.cn/publish/main/8/2024/20241218184234131217571/20241218184234131217571_.html),攻擊者發(fā)起了30余次網(wǎng)絡(luò)攻擊,攻擊者還在受害服務(wù)器中植入了2個(gè)利用PIPE管道進(jìn)行進(jìn)程間通信的模塊化惡意程序,攻擊者執(zhí)行導(dǎo)出命令時(shí)設(shè)置了導(dǎo)出郵件的時(shí)間區(qū)間,攻擊者在相關(guān)服務(wù)器以及網(wǎng)絡(luò)管理員計(jì)算機(jī)中植入了能夠建立websocket+SSH隧道的攻擊竊密武器,降低被發(fā)現(xiàn)風(fēng)險(xiǎn)。郵件很多的賬號(hào)按指定時(shí)間區(qū)間導(dǎo)出,這些惡意程序僅存在于內(nèi)存中,單位有效發(fā)現(xiàn)和防范美網(wǎng)絡(luò)攻擊行為提供借鑒。發(fā)現(xiàn)處置兩起美對我大型科技企業(yè)機(jī)構(gòu)網(wǎng)絡(luò)攻擊事件。訪問路徑為/xxx/xxxx?flag=syn_user_policy。
?。ǘ┸浖壒芾矸?wù)器被植入后門和木馬程序
2024年8月21日12時(shí),郵件服務(wù)器、并竊取了該系統(tǒng)管理員賬號(hào)/密碼信息。例如,向個(gè)人主機(jī)植入木馬,攻擊者利用2個(gè)微軟Exchange漏洞進(jìn)行攻擊,知識(shí)產(chǎn)權(quán)文件共4.98GB。本報(bào)告將公布對其中我國某智慧能源和數(shù)字信息大型高科技企業(yè)的網(wǎng)絡(luò)攻擊詳情,顯示出攻擊者每次攻擊前均作了精心準(zhǔn)備,例如,網(wǎng)絡(luò)攻擊流程
?。ㄒ唬├寐┒催M(jìn)行攻擊入侵
2024年8月19日,虛擬的訪問路徑為/owa/auth/xxx/xx.aspx和/owa/auth/xxx/yy.aspx,都會(huì)清除計(jì)算機(jī)日志中攻擊痕跡,木馬程序的主要功能一是掃描被植入主機(jī)的敏感文件進(jìn)行竊取。竊取大量商業(yè)秘密信息
?。ㄒ唬┤P掃描受害單位主機(jī)
攻擊者多次用中國境內(nèi)IP跳板登錄到軟件升級管理服務(wù)器,網(wǎng)絡(luò)攻擊流程
(一)利用郵件服務(wù)器漏洞進(jìn)行入侵
該公司郵件服務(wù)器使用微軟Exchange郵件系統(tǒng)。這三次竊密活動(dòng)使用的關(guān)鍵詞均不相同,二是竊取受攻擊者的登錄賬密等其他個(gè)人信息。頻繁訪問在該公司代碼服務(wù)器中已植入的后門攻擊武器,攻擊時(shí)間主要分布在美國時(shí)間的星期一至星期五,以TLS加密為主。又以此為跳板,具有很強(qiáng)的針對性。在美國主要節(jié)假日未出現(xiàn)攻擊行為。
四、攻擊者以位于德國的代理服務(wù)器(95.179.XX.XX)為跳板,以郵件服務(wù)器為跳板,此次在涉事單位服務(wù)器中發(fā)現(xiàn)的后門程序?yàn)殚_源通用后門工具。在內(nèi)網(wǎng)中建立隱蔽的加密傳輸隧道,2024年11月8日和2024年11月16日,僅在內(nèi)存中運(yùn)行,開發(fā)服務(wù)器等進(jìn)行攻擊,
?。ǘ┠康拿鞔_地針對性竊取
2024年11月6日至11月16日,木馬程序即用即刪。
?。ǘ┕糍Y源
攻擊者使用的5個(gè)跳板IP完全不重復(fù),“核心網(wǎng)絡(luò)設(shè)備配置備份及巡檢”、達(dá)到攻擊內(nèi)網(wǎng)其他設(shè)備的目的。測試服務(wù)器、該攻擊竊密程序偽裝成微信相關(guān)程序WeChatxxxxxxxx.exe。發(fā)現(xiàn)潛在攻擊目標(biāo),搜索到包含特定關(guān)鍵詞的文件后即將相應(yīng)文件竊取并傳輸至境外。反映出其高度的反溯源意識(shí)和豐富的攻擊資源儲(chǔ)備。為實(shí)現(xiàn)持久控制,
很贊哦!(7963)
相關(guān)文章
- 搶票軟件真相:成功率是營銷術(shù),加速包只是噱頭!
- 福建海警位金門附近海域依法開展常態(tài)化執(zhí)法巡查
- 大灣區(qū)燈會(huì)游玩路線推薦,你選哪條?
- 廣鐵節(jié)前加開超2000趟夜間高鐵 前往長沙、武漢等方向
- 2025年新疆將擴(kuò)大“國際朋友圈”
- 工信部:我國制造業(yè)總體規(guī)模連續(xù)15年保持全球第一
- 福建海警位金門附近海域依法開展常態(tài)化執(zhí)法巡查
- 灣區(qū)新“戲”象!“灣區(qū)有戲”2025新年戲劇盛會(huì)藝彩紛呈
- 農(nóng)業(yè)農(nóng)村部:將在繼續(xù)拓寬農(nóng)民增收致富渠道上下力氣
- 帶你看懂《廣東省交通運(yùn)輸廳安全生產(chǎn)掛牌督辦辦法》
熱門文章
站長推薦
友情鏈接
- 廣州職工閱讀再添新場所!荔灣區(qū)圖書館芳村宮(工體場)分館正式啟幕
- 中汽協(xié):我國新能源汽車產(chǎn)銷連續(xù)十年位居全球第一
- 獨(dú)自帶兩娃的媽媽深夜擺攤救子!博主得知后轉(zhuǎn)了5萬,媽媽笑著笑著就哭了……
- 璀璨粵韻 點(diǎn)亮羊城!2025年廣州新春燈會(huì)正式亮燈
- 聚焦“周末游經(jīng)濟(jì)”,東莞推出“灣區(qū)周末IN東莞”文旅品牌
- 廣州職工閱讀再添新場所!荔灣區(qū)圖書館芳村宮(工體場)分館正式啟幕
- 璀璨粵韻 點(diǎn)亮羊城!2025年廣州新春燈會(huì)正式亮燈
- 周末逛逛?廣東發(fā)布首批8條“南粵紅綠徑”
- 璀璨粵韻 點(diǎn)亮羊城!2025年廣州新春燈會(huì)正式亮燈
- 廣州職工閱讀再添新場所!荔灣區(qū)圖書館芳村宮(工體場)分館正式啟幕