美國網(wǎng)攻我國研究院調(diào)查發(fā)布揭露針對(duì)性竊密手法

小大

用微信掃描二維碼
分享至好友和朋友圈

關(guān)鍵詞：

2025-01-18 01:30:03 極目新聞

2024年12月18日,，國家互聯(lián)網(wǎng)應(yīng)急中心CNCERT發(fā)布公告,，發(fā)現(xiàn)并處置了兩起針對(duì)我國大型科技企業(yè)的網(wǎng)絡(luò)攻擊事件,。報(bào)告詳細(xì)描述了對(duì)某先進(jìn)材料設(shè)計(jì)研究院的網(wǎng)絡(luò)攻擊情況,，為全球相關(guān)國家和單位提供防范參考。

攻擊者于2024年8月19日利用該單位電子文件系統(tǒng)的注入漏洞入侵系統(tǒng),，竊取了管理員賬號(hào)和密碼信息,。兩天后，攻擊者使用這些憑證登錄被攻擊系統(tǒng)的管理后臺(tái),。

8月21日中午,，攻擊者在電子文件系統(tǒng)中部署了后門程序和定制化木馬程序。這些惡意程序僅存在于內(nèi)存中,，不存儲(chǔ)在硬盤上,，以逃避檢測(cè),。木馬程序用于接收從涉事單位被控個(gè)人計(jì)算機(jī)上竊取的敏感文件，訪問路徑為/xxx/xxxx?flag=syn_user_policy,。后門程序則將竊取的敏感文件聚合后傳輸?shù)骄惩?，訪問路徑是/xxx/xxxStats。

11月6日,、8日和16日,，攻擊者利用電子文檔服務(wù)器的軟件升級(jí)功能，向該單位276臺(tái)主機(jī)植入特種木馬程序,。這些木馬程序的主要功能包括掃描和竊取敏感文件以及受攻擊者的登錄賬密等個(gè)人信息,，并且即用即刪。

攻擊者多次通過中國境內(nèi)的IP跳板登錄到軟件升級(jí)管理服務(wù)器,，入侵受害單位內(nèi)網(wǎng)主機(jī),，并反復(fù)進(jìn)行全盤掃描,，發(fā)現(xiàn)潛在攻擊目標(biāo),，掌握該單位工作內(nèi)容。11月6日至11月16日期間,，攻擊者三次利用不同跳板IP入侵該軟件升級(jí)管理服務(wù)器,，向個(gè)人主機(jī)植入內(nèi)置特定關(guān)鍵詞的木馬，搜索并竊取包含這些關(guān)鍵詞的文件,，共竊取重要商業(yè)信息和知識(shí)產(chǎn)權(quán)文件4.98GB,。

分析顯示，此次攻擊時(shí)間主要集中在北京時(shí)間22時(shí)至次日8時(shí),，相當(dāng)于美國東部時(shí)間白天10時(shí)至20時(shí),，且主要發(fā)生在周一至周五，在美國主要節(jié)假日未出現(xiàn)攻擊行為,。攻擊者使用的5個(gè)跳板IP位于德國和羅馬尼亞等地,，表現(xiàn)出高度的反溯源意識(shí)和豐富的攻擊資源儲(chǔ)備。

攻擊者善于利用開源或通用工具偽裝躲避溯源,，此次發(fā)現(xiàn)的后門程序?yàn)殚_源通用后門工具,。此外，重要后門和木馬程序僅在內(nèi)存中運(yùn)行,，不在硬盤中存儲(chǔ),，增加了被發(fā)現(xiàn)的難度。攻擊者篡改了電子文件系統(tǒng)的客戶端分發(fā)程序,，通過軟件客戶端升級(jí)功能,，快速精準(zhǔn)地向276臺(tái)個(gè)人主機(jī)投遞木馬程序，進(jìn)行信息搜集和竊取,，顯示出強(qiáng)大的攻擊能力,。

(責(zé)任編輯：張佳鑫 0764)

關(guān)閉

美國網(wǎng)攻我國研究院調(diào)查發(fā)布 揭露針對(duì)性竊密手法

相關(guān)新聞

今日熱點(diǎn)

頻道熱點(diǎn)

美國網(wǎng)攻我國研究院調(diào)查發(fā)布揭露針對(duì)性竊密手法