美國(guó)網(wǎng)攻我國(guó)研究院調(diào)查發(fā)布揭露針對(duì)性竊密手法

小大

用微信掃描二維碼
分享至好友和朋友圈

關(guān)鍵詞：

2025-01-18 01:30:03 極目新聞

2024年12月18日，國(guó)家互聯(lián)網(wǎng)應(yīng)急中心CNCERT發(fā)布公告，發(fā)現(xiàn)并處置了兩起針對(duì)我國(guó)大型科技企業(yè)的網(wǎng)絡(luò)攻擊事件,。報(bào)告詳細(xì)描述了對(duì)某先進(jìn)材料設(shè)計(jì)研究院的網(wǎng)絡(luò)攻擊情況,，為全球相關(guān)國(guó)家和單位提供防范參考。

美國(guó)網(wǎng)攻我國(guó)研究院調(diào)查發(fā)布

攻擊者于2024年8月19日利用該單位電子文件系統(tǒng)的注入漏洞入侵系統(tǒng),，竊取了管理員賬號(hào)和密碼信息。兩天后，攻擊者使用這些憑證登錄被攻擊系統(tǒng)的管理后臺(tái),。

8月21日中午，攻擊者在電子文件系統(tǒng)中部署了后門(mén)程序和定制化木馬程序,。這些惡意程序僅存在于內(nèi)存中,，不存儲(chǔ)在硬盤(pán)上，以逃避檢測(cè),。木馬程序用于接收從涉事單位被控個(gè)人計(jì)算機(jī)上竊取的敏感文件,，訪(fǎng)問(wèn)路徑為/xxx/xxxx?flag=syn_user_policy。后門(mén)程序則將竊取的敏感文件聚合后傳輸?shù)骄惩?，訪(fǎng)問(wèn)路徑是/xxx/xxxStats,。

11月6日、8日和16日,，攻擊者利用電子文檔服務(wù)器的軟件升級(jí)功能,，向該單位276臺(tái)主機(jī)植入特種木馬程序。這些木馬程序的主要功能包括掃描和竊取敏感文件以及受攻擊者的登錄賬密等個(gè)人信息,，并且即用即刪,。

攻擊者多次通過(guò)中國(guó)境內(nèi)的IP跳板登錄到軟件升級(jí)管理服務(wù)器,，入侵受害單位內(nèi)網(wǎng)主機(jī)，并反復(fù)進(jìn)行全盤(pán)掃描,，發(fā)現(xiàn)潛在攻擊目標(biāo),，掌握該單位工作內(nèi)容。11月6日至11月16日期間,，攻擊者三次利用不同跳板IP入侵該軟件升級(jí)管理服務(wù)器,，向個(gè)人主機(jī)植入內(nèi)置特定關(guān)鍵詞的木馬，搜索并竊取包含這些關(guān)鍵詞的文件,，共竊取重要商業(yè)信息和知識(shí)產(chǎn)權(quán)文件4.98GB,。

分析顯示，此次攻擊時(shí)間主要集中在北京時(shí)間22時(shí)至次日8時(shí),，相當(dāng)于美國(guó)東部時(shí)間白天10時(shí)至20時(shí),，且主要發(fā)生在周一至周五，在美國(guó)主要節(jié)假日未出現(xiàn)攻擊行為,。攻擊者使用的5個(gè)跳板IP位于德國(guó)和羅馬尼亞等地,，表現(xiàn)出高度的反溯源意識(shí)和豐富的攻擊資源儲(chǔ)備。

攻擊者善于利用開(kāi)源或通用工具偽裝躲避溯源,，此次發(fā)現(xiàn)的后門(mén)程序?yàn)殚_(kāi)源通用后門(mén)工具,。此外，重要后門(mén)和木馬程序僅在內(nèi)存中運(yùn)行,，不在硬盤(pán)中存儲(chǔ),，增加了被發(fā)現(xiàn)的難度。攻擊者篡改了電子文件系統(tǒng)的客戶(hù)端分發(fā)程序,，通過(guò)軟件客戶(hù)端升級(jí)功能,，快速精準(zhǔn)地向276臺(tái)個(gè)人主機(jī)投遞木馬程序，進(jìn)行信息搜集和竊取,，顯示出強(qiáng)大的攻擊能力,。

(責(zé)任編輯：張佳鑫 0764)

關(guān)閉

美國(guó)網(wǎng)攻我國(guó)研究院調(diào)查發(fā)布 揭露針對(duì)性竊密手法

相關(guān)新聞

今日熱點(diǎn)

頻道熱點(diǎn)

美國(guó)網(wǎng)攻我國(guó)研究院調(diào)查發(fā)布揭露針對(duì)性竊密手法