美網(wǎng)絡(luò)攻擊我國某先進(jìn)材料設(shè)計(jì)研究院事件調(diào)查報(bào)告(2)

小大

用微信掃描二維碼
分享至好友和朋友圈

關(guān)鍵詞：

2025-01-17 16:02:23 環(huán)球網(wǎng)

（二）目的明確地針對(duì)性竊取

2024年11月6日至11月16日,，攻擊者利用3個(gè)不同的跳板IP三次入侵該軟件升級(jí)管理服務(wù)器，向個(gè)人主機(jī)植入木馬,，這些木馬已內(nèi)置與受害單位工作內(nèi)容高度相關(guān)的特定關(guān)鍵詞,，搜索到包含特定關(guān)鍵詞的文件后即將相應(yīng)文件竊取并傳輸至境外,。這三次竊密活動(dòng)使用的關(guān)鍵詞均不相同，顯示出攻擊者每次攻擊前均作了精心準(zhǔn)備，具有很強(qiáng)的針對(duì)性,。三次竊密行為共竊取重要商業(yè)信息、知識(shí)產(chǎn)權(quán)文件共4.98GB,。

三,、攻擊行為特點(diǎn)

（一）攻擊時(shí)間

分析發(fā)現(xiàn)，此次攻擊時(shí)間主要集中在北京時(shí)間22時(shí)至次日8時(shí),，相對(duì)于美國東部時(shí)間為白天時(shí)間10時(shí)至20時(shí),，攻擊時(shí)間主要分布在美國時(shí)間的星期一至星期五，在美國主要節(jié)假日未出現(xiàn)攻擊行為,。

（二）攻擊資源

攻擊者使用的5個(gè)跳板IP完全不重復(fù),，位于德國和羅馬尼亞等地，反映出其高度的反溯源意識(shí)和豐富的攻擊資源儲(chǔ)備,。

（三）攻擊武器

一是善于利用開源或通用工具偽裝躲避溯源,，此次在涉事單位服務(wù)器中發(fā)現(xiàn)的后門程序?yàn)殚_源通用后門工具。攻擊者為了避免被溯源,，大量使用開源或通用攻擊工具,。

二是重要后門和木馬程序僅在內(nèi)存中運(yùn)行，不在硬盤中存儲(chǔ),，大大提升了其攻擊行為被我分析發(fā)現(xiàn)的難度,。

（四）攻擊手法

攻擊者攻擊該單位電子文件系統(tǒng)服務(wù)器后，篡改了該系統(tǒng)的客戶端分發(fā)程序,，通過軟件客戶端升級(jí)功能,，向276臺(tái)個(gè)人主機(jī)投遞木馬程序，快速,、精準(zhǔn)攻擊重要用戶,，大肆進(jìn)行信息搜集和竊取。以上攻擊手法充分顯示出該攻擊組織的強(qiáng)大攻擊能力。

四,、部分跳板IP列表

首頁上一頁 12共 2 頁

(責(zé)任編輯：喬嬌 TT0002)

關(guān)閉

美網(wǎng)絡(luò)攻擊我國某先進(jìn)材料設(shè)計(jì)研究院事件調(diào)查報(bào)告(2)

相關(guān)新聞

今日熱點(diǎn)

頻道熱點(diǎn)