美網(wǎng)絡(luò)攻擊我國某先進材料設(shè)計研究院事件調(diào)查報告

小大

用微信掃描二維碼
分享至好友和朋友圈

關(guān)鍵詞：

2025-01-17 16:02:23 環(huán)球網(wǎng)

2024年12月18日,，國家互聯(lián)網(wǎng)應(yīng)急中心CNCERT發(fā)布公告(https://www.cert.org.cn/publish/main/8/2024/20241218184234131217571/20241218184234131217571_.html)，發(fā)現(xiàn)處置兩起美對我大型科技企業(yè)機構(gòu)網(wǎng)絡(luò)攻擊事件,。本報告將公布對其中我國某先進材料設(shè)計研究院的網(wǎng)絡(luò)攻擊詳情,，為全球相關(guān)國家,、單位有效發(fā)現(xiàn)和防范美網(wǎng)絡(luò)攻擊行為提供借鑒。

一,、網(wǎng)絡(luò)攻擊流程

（一）利用漏洞進行攻擊入侵

2024年8月19日,，攻擊者利用該單位電子文件系統(tǒng)注入漏洞入侵該系統(tǒng)，并竊取了該系統(tǒng)管理員賬號/密碼信息,。2024年8月21日,，攻擊者利用竊取的管理員賬號/密碼登錄被攻擊系統(tǒng)的管理后臺。

（二）軟件升級管理服務(wù)器被植入后門和木馬程序

2024年8月21日12時,，攻擊者在該電子文件系統(tǒng)中部署了后門程序和接收被竊數(shù)據(jù)的定制化木馬程序,。為逃避檢測,，這些惡意程序僅存在于內(nèi)存中,，不在硬盤上存儲。木馬程序用于接收從涉事單位被控個人計算機上竊取的敏感文件,，訪問路徑為/xxx/xxxx?flag="syn_user_policy",。后門程序用于將竊取的敏感文件聚合后傳輸?shù)骄惩猓L問路徑是/xxx/xxxStats,。

（三）大范圍個人主機電腦被植入木馬

2024年11月6日,、2024年11月8日和2024年11月16日，攻擊者利用電子文檔服務(wù)器的某軟件升級功能將特種木馬程序植入到該單位276臺主機中,。木馬程序的主要功能一是掃描被植入主機的敏感文件進行竊取,。二是竊取受攻擊者的登錄賬密等其他個人信息。木馬程序即用即刪,。

二,、竊取大量商業(yè)秘密信息

（一）全盤掃描受害單位主機

攻擊者多次用中國境內(nèi)IP跳板登錄到軟件升級管理服務(wù)器，并利用該服務(wù)器入侵受害單位內(nèi)網(wǎng)主機,，并對該單位內(nèi)網(wǎng)主機硬盤反復(fù)進行全盤掃描,，發(fā)現(xiàn)潛在攻擊目標(biāo)，掌握該單位工作內(nèi)容,。

12 全文共 2 頁下一頁

關(guān)閉

美網(wǎng)絡(luò)攻擊我國某先進材料設(shè)計研究院事件調(diào)查報告

相關(guān)新聞

今日熱點

頻道熱點