央視網(wǎng)消息:1月17日��,國(guó)家互聯(lián)網(wǎng)應(yīng)急中心CNCERT發(fā)布報(bào)告,公布美對(duì)我國(guó)某先進(jìn)材料設(shè)計(jì)研究院的網(wǎng)絡(luò)攻擊詳情。此前在2024年12月18日發(fā)布公告稱,發(fā)現(xiàn)處置兩起美對(duì)我大型科技企業(yè)機(jī)構(gòu)網(wǎng)絡(luò)攻擊事件����。
一���、網(wǎng)絡(luò)攻擊流程
(一)利用漏洞進(jìn)行攻擊入侵
2024年8月19日���,攻擊者利用該單位電子文件系統(tǒng)注入漏洞入侵該系統(tǒng)�,并竊取了該系統(tǒng)管理員賬號(hào)/密碼信息����。2024年8月21日���,攻擊者利用竊取的管理員賬號(hào)/密碼登錄被攻擊系統(tǒng)的管理后臺(tái)���。
(二)軟件升級(jí)管理服務(wù)器被植入后門和木馬程序
2024年8月21日12時(shí)�,攻擊者在該電子文件系統(tǒng)中部署了后門程序和接收被竊數(shù)據(jù)的定制化木馬程序。為逃避檢測(cè)�����,這些惡意程序僅存在于內(nèi)存中�,不在硬盤上存儲(chǔ)���。木馬程序用于接收從涉事單位被控個(gè)人計(jì)算機(jī)上竊取的敏感文件��,訪問(wèn)路徑為/xxx/xxxx?flag=syn_user_policy。后門程序用于將竊取的敏感文件聚合后傳輸?shù)骄惩����,訪問(wèn)路徑是/xxx/xxxStats��。
(三)大范圍個(gè)人主機(jī)電腦被植入木馬
2024年11月6日、2024年11月8日和2024年11月16日�����,攻擊者利用電子文檔服務(wù)器的某軟件升級(jí)功能將特種木馬程序植入到該單位276臺(tái)主機(jī)中����。木馬程序的主要功能一是掃描被植入主機(jī)的敏感文件進(jìn)行竊取����。二是竊取受攻擊者的登錄賬密等其他個(gè)人信息�。木馬程序即用即刪。
二�、竊取大量商業(yè)秘密信息
(一)全盤掃描受害單位主機(jī)
攻擊者多次用中國(guó)境內(nèi)IP跳板登錄到軟件升級(jí)管理服務(wù)器�����,并利用該服務(wù)器入侵受害單位內(nèi)網(wǎng)主機(jī)���,并對(duì)該單位內(nèi)網(wǎng)主機(jī)硬盤反復(fù)進(jìn)行全盤掃描���,發(fā)現(xiàn)潛在攻擊目標(biāo)����,掌握該單位工作內(nèi)容。
(二)目的明確地針對(duì)性竊取
2024年11月6日至11月16日����,攻擊者利用3個(gè)不同的跳板IP三次入侵該軟件升級(jí)管理服務(wù)器�,向個(gè)人主機(jī)植入木馬��,這些木馬已內(nèi)置與受害單位工作內(nèi)容高度相關(guān)的特定關(guān)鍵詞��,搜索到包含特定關(guān)鍵詞的文件后即將相應(yīng)文件竊取并傳輸至境外。這三次竊密活動(dòng)使用的關(guān)鍵詞均不相同,顯示出攻擊者每次攻擊前均作了精心準(zhǔn)備�,具有很強(qiáng)的針對(duì)性�����。三次竊密行為共竊取重要商業(yè)信息�、知識(shí)產(chǎn)權(quán)文件共4.98GB����。
三、攻擊行為特點(diǎn)
(一)攻擊時(shí)間
分析發(fā)現(xiàn),此次攻擊時(shí)間主要集中在北京時(shí)間22時(shí)至次日8時(shí)�����,相對(duì)于美國(guó)東部時(shí)間為白天時(shí)間10時(shí)至20時(shí),攻擊時(shí)間主要分布在美國(guó)時(shí)間的星期一至星期五,在美國(guó)主要節(jié)假日未出現(xiàn)攻擊行為。
(二)攻擊資源
攻擊者使用的5個(gè)跳板IP完全不重復(fù)�,位于德國(guó)和羅馬尼亞等地�,反映出其高度的反溯源意識(shí)和豐富的攻擊資源儲(chǔ)備。
(三)攻擊武器
一是善于利用開(kāi)源或通用工具偽裝躲避溯源,此次在涉事單位服務(wù)器中發(fā)現(xiàn)的后門程序?yàn)殚_(kāi)源通用后門工具�����。攻擊者為了避免被溯源����,大量使用開(kāi)源或通用攻擊工具����。
二是重要后門和木馬程序僅在內(nèi)存中運(yùn)行����,不在硬盤中存儲(chǔ),大大提升了其攻擊行為被我分析發(fā)現(xiàn)的難度。
(四)攻擊手法
攻擊者攻擊該單位電子文件系統(tǒng)服務(wù)器后����,篡改了該系統(tǒng)的客戶端分發(fā)程序�����,通過(guò)軟件客戶端升級(jí)功能�����,向276臺(tái)個(gè)人主機(jī)投遞木馬程序,快速、精準(zhǔn)攻擊重要用戶���,大肆進(jìn)行信息搜集和竊取����。以上攻擊手法充分顯示出該攻擊組織的強(qiáng)大攻擊能力��。
四�����、部分跳板IP列表
京公網(wǎng)安備 11010102004843號(hào)