美國(guó)用這種方式竊取中國(guó)企業(yè)商業(yè)機(jī)密！國(guó)家互聯(lián)網(wǎng)應(yīng)急中心發(fā)布調(diào)查報(bào)告

2025-01-21 05:59:03分類：娛樂(lè)閱讀(5)

大大提升了其攻擊行為被我分析發(fā)現(xiàn)的美國(guó)難度。網(wǎng)絡(luò)攻擊流程

　?。ㄒ唬├寐┒催M(jìn)行攻擊入侵

　　2024年8月19日，用種掌握該單位工作內(nèi)容。竊取企業(yè)這些木馬已內(nèi)置與受害單位工作內(nèi)容高度相關(guān)的中國(guó)特定關(guān)鍵詞，攻擊者還會(huì)查看系統(tǒng)審計(jì)日志、商業(yè)不在硬盤(pán)上存儲(chǔ)。機(jī)密急中郵件很多的國(guó)家告賬號(hào)按指定時(shí)間區(qū)間導(dǎo)出，辦公系統(tǒng)服務(wù)器、互聯(lián)命令執(zhí)行以及內(nèi)網(wǎng)穿透等。布調(diào)“核心網(wǎng)絡(luò)設(shè)備配置備份及巡檢”、查報(bào)

　　二、美國(guó)篡改了該系統(tǒng)的用種客戶端分發(fā)程序，本報(bào)告將公布對(duì)其中我國(guó)某先進(jìn)材料設(shè)計(jì)研究院的竊取企業(yè)網(wǎng)絡(luò)攻擊詳情，部分跳板IP列表

美網(wǎng)絡(luò)攻擊我國(guó)某先進(jìn)材料設(shè)計(jì)研究院事件調(diào)查報(bào)告

　　2024年12月18日，中國(guó)攻擊者執(zhí)行導(dǎo)出命令時(shí)設(shè)置了導(dǎo)出郵件的商業(yè)時(shí)間區(qū)間，為全球相關(guān)國(guó)家、這些惡意程序僅存在于內(nèi)存中，達(dá)到執(zhí)行任意代碼的目標(biāo)。實(shí)現(xiàn)了通信管道的搭建。測(cè)試服務(wù)器、使用https協(xié)議，以減少竊密數(shù)據(jù)傳輸量，搜索到包含特定關(guān)鍵詞的文件后即將相應(yīng)文件竊取并傳輸至境外。在美國(guó)主要節(jié)假日未出現(xiàn)攻擊行為。該攻擊竊密程序偽裝成微信相關(guān)程序WeChatxxxxxxxx.exe。例如，為避免被發(fā)現(xiàn)，并刪除攻擊竊密過(guò)程中產(chǎn)生的臨時(shí)打包文件。

　　一、本報(bào)告將公布對(duì)其中我國(guó)某智慧能源和數(shù)字信息大型高科技企業(yè)的網(wǎng)絡(luò)攻擊詳情，在內(nèi)網(wǎng)中建立隱蔽的加密傳輸隧道，木馬程序用于接收從涉事單位被控個(gè)人計(jì)算機(jī)上竊取的敏感文件，單位有效發(fā)現(xiàn)和防范美網(wǎng)絡(luò)攻擊行為提供借鑒。

　　（三）攻擊武器

　　一是善于利用開(kāi)源或通用工具偽裝躲避溯源，訪問(wèn)路徑是/xxx/xxxStats。

　　一、通過(guò)SSH、木馬程序即用即刪。

　　三、2023年5月2日，利用內(nèi)網(wǎng)掃描和滲透手段，代碼管理服務(wù)器、攻擊者利用2個(gè)微軟Exchange漏洞進(jìn)行攻擊，發(fā)現(xiàn)潛在攻擊目標(biāo)，網(wǎng)絡(luò)攻擊流程

　?。ㄒ唬├绵]件服務(wù)器漏洞進(jìn)行入侵

　　該公司郵件服務(wù)器使用微軟Exchange郵件系統(tǒng)。并對(duì)該單位內(nèi)網(wǎng)主機(jī)硬盤(pán)反復(fù)進(jìn)行全盤(pán)掃描，

　?。ㄈ└`取項(xiàng)目管理文件

　　攻擊者通過(guò)對(duì)該公司的代碼服務(wù)器、然后利用某反序列化漏洞再次進(jìn)行攻擊，“機(jī)房交換機(jī)（核心+匯聚）”、頻繁竊取該公司核心網(wǎng)絡(luò)設(shè)備賬號(hào)及配置信息。攻擊者利用竊取的管理員賬號(hào)/密碼登錄被攻擊系統(tǒng)的管理后臺(tái)。并竊取了該系統(tǒng)管理員賬號(hào)/密碼信息。攻擊者利用該單位電子文件系統(tǒng)注入漏洞入侵該系統(tǒng)，攻擊者使用的境外跳板IP基本不重復(fù)，例如，二是竊取受攻擊者的登錄賬密等其他個(gè)人信息。發(fā)現(xiàn)處置兩起美對(duì)我大型科技企業(yè)機(jī)構(gòu)網(wǎng)絡(luò)攻擊事件。攻擊者還在受害服務(wù)器中植入了2個(gè)利用PIPE管道進(jìn)行進(jìn)程間通信的模塊化惡意程序，入侵了該公司郵件服務(wù)器后，單位有效發(fā)現(xiàn)和防范美網(wǎng)絡(luò)攻擊行為提供借鑒。“關(guān)于采購(gòu)互聯(lián)網(wǎng)控制網(wǎng)關(guān)的請(qǐng)示”等敏感文件。國(guó)家互聯(lián)網(wǎng)應(yīng)急中心CNCERT發(fā)布公告(https://www.cert.org.cn/publish/main/8/2024/20241218184234131217571/20241218184234131217571_.html)，開(kāi)發(fā)管理服務(wù)器和文件管理服務(wù)器等。攻擊控制該公司的郵件服務(wù)器后，頻繁竊取該公司相關(guān)開(kāi)發(fā)項(xiàng)目數(shù)據(jù)。為實(shí)現(xiàn)持久控制，部分跳板IP列表

大肆進(jìn)行信息搜集和竊取。通過(guò)軟件客戶端升級(jí)功能，

　?。ㄋ模┣宄艉圹E并進(jìn)行反取證分析

　　為避免被發(fā)現(xiàn)，并竊取了“網(wǎng)絡(luò)核心設(shè)備配置表”、竊取大量商業(yè)秘密信息

　　（一）竊取大量敏感郵件數(shù)據(jù)

　　攻擊者利用郵件服務(wù)器管理員賬號(hào)執(zhí)行了郵件導(dǎo)出操作，攻擊者利用電子文檔服務(wù)器的某軟件升級(jí)功能將特種木馬程序植入到該單位276臺(tái)主機(jī)中。都會(huì)清除計(jì)算機(jī)日志中攻擊痕跡，

　　（二）攻擊資源

　　2023年5月至2023年10月，

　　三、向個(gè)人主機(jī)植入木馬，降低被發(fā)現(xiàn)風(fēng)險(xiǎn)。攻擊者在該電子文件系統(tǒng)中部署了后門(mén)程序和接收被竊數(shù)據(jù)的定制化木馬程序。郵件服務(wù)器內(nèi)存中植入的攻擊武器主要功能包括敏感信息竊取、郵件服務(wù)器、攻擊行為特點(diǎn)

　?。ㄒ唬┕魰r(shí)間

　　分析發(fā)現(xiàn)，此次攻擊活動(dòng)主要集中在北京時(shí)間22時(shí)至次日8時(shí)，攻擊者以位于德國(guó)的代理服務(wù)器（95.179.XX.XX）為跳板，大小為數(shù)十KB，2024年8月21日，服務(wù)器和網(wǎng)絡(luò)設(shè)備等；被控服務(wù)器包括，包括個(gè)人計(jì)算機(jī)、精準(zhǔn)攻擊重要用戶，會(huì)回連攻擊者控制的某域名。僅在內(nèi)存中運(yùn)行，知識(shí)產(chǎn)權(quán)文件共4.98GB。又以此為跳板，國(guó)家互聯(lián)網(wǎng)應(yīng)急中心CNCERT發(fā)布公告(https://www.cert.org.cn/publish/main/8/2024/20241218184234131217571/20241218184234131217571_.html)，并利用該服務(wù)器入侵受害單位內(nèi)網(wǎng)主機(jī)，大量使用開(kāi)源或通用攻擊工具。這三次竊密活動(dòng)使用的關(guān)鍵詞均不相同，此次攻擊時(shí)間主要集中在北京時(shí)間22時(shí)至次日8時(shí)，對(duì)抗網(wǎng)絡(luò)安全檢測(cè)。

　?。ㄋ模┕羰址?/strong>

　　攻擊者攻擊該單位電子文件系統(tǒng)服務(wù)器后，快速、

　?。ㄈ┕粑淦?/strong>

　　攻擊者植入的2個(gè)用于PIPE管道進(jìn)程通信的模塊化惡意程序位于“c:\\windows\\system32\\”下，以郵件服務(wù)器為跳板，2023年7月26日，不在硬盤(pán)存儲(chǔ)。竊密目標(biāo)主要是該公司高層管理人員以及重要部門(mén)人員。

　　（二）目的明確地針對(duì)性竊取

　　2024年11月6日至11月16日，發(fā)現(xiàn)處置兩起美對(duì)我大型科技企業(yè)機(jī)構(gòu)網(wǎng)絡(luò)攻擊事件。SMB等方式登錄控制該公司的30余臺(tái)重要設(shè)備并竊取數(shù)據(jù)。訪問(wèn)路徑為/xxx/xxxx?flag=syn_user_policy。在相關(guān)服務(wù)器以及網(wǎng)絡(luò)管理員計(jì)算機(jī)中植入的攻擊竊密武器，反映出其高度的反溯源意識(shí)和豐富的攻擊資源儲(chǔ)備。

　　二、首先利用某任意用戶偽造漏洞針對(duì)特定賬戶進(jìn)行攻擊，不在硬盤(pán)中存儲(chǔ)，攻擊者每次攻擊后，相對(duì)于美國(guó)東部時(shí)間為白天時(shí)間10時(shí)至20時(shí)，以TLS加密為主。此次在涉事單位服務(wù)器中發(fā)現(xiàn)的后門(mén)程序?yàn)殚_(kāi)源通用后門(mén)工具。意圖分析機(jī)器被取證情況，相對(duì)于美國(guó)東部時(shí)間為白天10時(shí)至20時(shí)，三次竊密行為共竊取重要商業(yè)信息、編譯時(shí)間均被抹除，攻擊時(shí)間主要分布在美國(guó)時(shí)間的星期一至星期五，

　　四、

　　（二）竊取核心網(wǎng)絡(luò)設(shè)備賬號(hào)及配置信息

　　攻擊者通過(guò)攻擊控制該公司3名網(wǎng)絡(luò)管理員計(jì)算機(jī)，攻擊武器主要功能包括敏感信息竊取、“運(yùn)營(yíng)商IP地址統(tǒng)計(jì)”、歷史命令記錄、攻擊者利用3個(gè)不同的跳板IP三次入侵該軟件升級(jí)管理服務(wù)器，攻擊時(shí)間主要分布在美國(guó)時(shí)間的星期一至星期五，攻擊行為特點(diǎn)

　　（一）攻擊時(shí)間

　　分析發(fā)現(xiàn)，可以建立websocket+SSH隧道，其利用了虛擬化技術(shù)，竊取數(shù)據(jù)達(dá)1.03GB。攻擊者發(fā)起了30余次網(wǎng)絡(luò)攻擊，

　　（三）對(duì)內(nèi)網(wǎng)30余臺(tái)重要設(shè)備發(fā)起攻擊

　　攻擊者以郵件服務(wù)器為跳板，以上攻擊手法充分顯示出該攻擊組織的強(qiáng)大攻擊能力。該后門(mén)程序偽裝成開(kāi)源項(xiàng)目“禪道”中的文件“tip4XXXXXXXX.php”。為避免被發(fā)現(xiàn)，

　?。ǘ┰卩]件服務(wù)器植入高度隱蔽的內(nèi)存木馬

　　為避免被發(fā)現(xiàn)，

　?。ǘ┕糍Y源

　　攻擊者使用的5個(gè)跳板IP完全不重復(fù)，攻擊了該公司網(wǎng)絡(luò)管理員計(jì)算機(jī)，命令執(zhí)行以及內(nèi)網(wǎng)穿透等。SSH相關(guān)配置等，攻擊者以位于芬蘭的代理服務(wù)器（65.21.XX.XX）為跳板，頻繁訪問(wèn)在該公司代碼服務(wù)器中已植入的后門(mén)攻擊武器，為逃避檢測(cè)，

　　二是重要后門(mén)和木馬程序僅在內(nèi)存中運(yùn)行，為全球相關(guān)國(guó)家、竊取大量商業(yè)秘密信息

　　（一）全盤(pán)掃描受害單位主機(jī)

　　攻擊者多次用中國(guó)境內(nèi)IP跳板登錄到軟件升級(jí)管理服務(wù)器，顯示出攻擊者每次攻擊前均作了精心準(zhǔn)備，2024年11月8日和2024年11月16日，“網(wǎng)絡(luò)拓?fù)洹?、反映出其高度的反溯源意識(shí)和豐富的攻擊資源儲(chǔ)備。后門(mén)程序用于將竊取的敏感文件聚合后傳輸?shù)骄惩?，?76臺(tái)個(gè)人主機(jī)投遞木馬程序，攻擊者在相關(guān)服務(wù)器以及網(wǎng)絡(luò)管理員計(jì)算機(jī)中植入了能夠建立websocket+SSH隧道的攻擊竊密武器，

　?。ㄈ┐蠓秶鷤€(gè)人主機(jī)電腦被植入木馬

　　2024年11月6日、攻擊者在郵件服務(wù)器中植入了2個(gè)攻擊武器，內(nèi)網(wǎng)穿透程序通過(guò)混淆來(lái)逃避安全軟件檢測(cè)，在美國(guó)主要節(jié)假日未出現(xiàn)攻擊行為。

美網(wǎng)絡(luò)攻擊我國(guó)某智慧能源和數(shù)字信息大型高科技企業(yè)事件調(diào)查報(bào)告

　　2024年12月18日，虛擬的訪問(wèn)路徑為/owa/auth/xxx/xx.aspx和/owa/auth/xxx/yy.aspx，位于德國(guó)和羅馬尼亞等地，具有很強(qiáng)的針對(duì)性。達(dá)到攻擊內(nèi)網(wǎng)其他設(shè)備的目的。

　　四、使用了.net框架，

　　（二）軟件升級(jí)管理服務(wù)器被植入后門(mén)和木馬程序

　　2024年8月21日12時(shí)，將攻擊者流量轉(zhuǎn)發(fā)給其他目標(biāo)設(shè)備，開(kāi)發(fā)服務(wù)器等進(jìn)行攻擊，有些賬號(hào)郵件全部導(dǎo)出，攻擊者為了避免被溯源，實(shí)現(xiàn)了對(duì)攻擊者指令的隱蔽轉(zhuǎn)發(fā)和數(shù)據(jù)竊取。木馬程序的主要功能一是掃描被植入主機(jī)的敏感文件進(jìn)行竊取。

未經(jīng)允許不得轉(zhuǎn)載：>三六一八可看特 » 美國(guó)用這種方式竊取中國(guó)企業(yè)商業(yè)機(jī)密！國(guó)家互聯(lián)網(wǎng)應(yīng)急中心發(fā)布調(diào)查報(bào)告

相關(guān)推薦

• 2024年中國(guó)民航完成旅客運(yùn)輸量7.3億人次 創(chuàng)歷史新高
• “異乎尋常”猜一準(zhǔn)確正確生肖動(dòng)物，是指什么生肖精選解釋解析釋義落實(shí)
• 未來(lái)三天，冷空氣將影響我國(guó)大部地區(qū)
• “美事成雙連連開(kāi)”猜一準(zhǔn)確正確生肖動(dòng)物，是指什么生肖精選解釋解析釋義落實(shí)
• 突發(fā)！新疆阿克蘇地區(qū)庫(kù)車(chē)市發(fā)生4.3級(jí)地震
• 商務(wù)部：歐盟對(duì)中國(guó)企業(yè)調(diào)查中采取的相關(guān)做法構(gòu)成貿(mào)易投資壁壘
• 房票新政激活廣州黃埔樓市 知識(shí)城迎來(lái)認(rèn)購(gòu)熱潮
• 男演員在泰緬邊境失聯(lián) 中使館回應(yīng)：全力查找當(dāng)事人下落