今日，據(jù)國家互聯(lián)網(wǎng)應急中心消息，國家互聯(lián)網(wǎng)應急中心發(fā)現(xiàn)處置兩起美對我大型科技企業(yè)機構(gòu)進行網(wǎng)絡攻擊竊取商業(yè)秘密事件。

2023年5月起，我國某智慧能源和數(shù)字信息大型高科技企業(yè)遭疑似美國情報機構(gòu)網(wǎng)絡攻擊。

經(jīng)分析，攻擊者使用多個境外跳板，利用微軟Exchange漏洞，入侵控制該公司郵件服務器并植入后門程序，持續(xù)竊取郵件數(shù)據(jù)。

為避免被發(fā)現(xiàn)，攻擊者在郵件服務器中植入了2個攻擊武器，僅在內(nèi)存中運行，不在硬盤存儲。

其利用了虛擬化技術(shù)，虛擬的訪問路徑為/owa/auth/xxx/xx.aspx和/owa/auth/xxx/yy.aspx，攻擊武器主要功能包括敏感信息竊取、命令執(zhí)行以及內(nèi)網(wǎng)穿透等。

內(nèi)網(wǎng)穿透程序通過混淆來逃避安全軟件檢測，將攻擊者流量轉(zhuǎn)發(fā)給其他目標設備，達到攻擊內(nèi)網(wǎng)其他設備的目的。

同時，攻擊者又以該郵件服務器為跳板，攻擊控制該公司及其下屬企業(yè)30余臺設備，竊取該公司大量商業(yè)秘密信息。

攻擊者每次攻擊后，都會清除計算機日志中攻擊痕跡，并刪除攻擊竊密過程中產(chǎn)生的臨時打包文件。

攻擊者還會查看系統(tǒng)審計日志、歷史命令記錄、SSH相關(guān)配置等，意圖分析機器被取證情況，對抗網(wǎng)絡安全檢測。

部分跳板IP列表

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級服務市場：https://www.ijiandao.com/