聲明：該文章來自（快科技）版權(quán)由原作者所有，K2OS渲染引擎提供網(wǎng)頁加速服務(wù)。

今日，據(jù)國家互聯(lián)網(wǎng)應(yīng)急中心消息，國家互聯(lián)網(wǎng)應(yīng)急中心發(fā)現(xiàn)處置兩起美對(duì)我大型科技企業(yè)機(jī)構(gòu)進(jìn)行網(wǎng)絡(luò)攻擊竊取商業(yè)秘密事件。

2023年5月起，我國某智慧能源和數(shù)字信息大型高科技企業(yè)遭疑似美國情報(bào)機(jī)構(gòu)網(wǎng)絡(luò)攻擊。

經(jīng)分析，攻擊者使用多個(gè)境外跳板，利用微軟Exchange漏洞，入侵控制該公司郵件服務(wù)器并植入后門程序，持續(xù)竊取郵件數(shù)據(jù)。

為避免被發(fā)現(xiàn)，攻擊者在郵件服務(wù)器中植入了2個(gè)攻擊武器，僅在內(nèi)存中運(yùn)行，不在硬盤存儲(chǔ)。

其利用了虛擬化技術(shù)，虛擬的訪問路徑為/owa/auth/xxx/xx.aspx和/owa/auth/xxx/yy.aspx，攻擊武器主要功能包括敏感信息竊取、命令執(zhí)行以及內(nèi)網(wǎng)穿透等。

內(nèi)網(wǎng)穿透程序通過混淆來逃避安全軟件檢測(cè)，將攻擊者流量轉(zhuǎn)發(fā)給其他目標(biāo)設(shè)備，達(dá)到攻擊內(nèi)網(wǎng)其他設(shè)備的目的。

同時(shí)，攻擊者又以該郵件服務(wù)器為跳板，攻擊控制該公司及其下屬企業(yè)30余臺(tái)設(shè)備，竊取該公司大量商業(yè)秘密信息。

攻擊者每次攻擊后，都會(huì)清除計(jì)算機(jī)日志中攻擊痕跡，并刪除攻擊竊密過程中產(chǎn)生的臨時(shí)打包文件。

攻擊者還會(huì)查看系統(tǒng)審計(jì)日志、歷史命令記錄、SSH相關(guān)配置等，意圖分析機(jī)器被取證情況，對(duì)抗網(wǎng)絡(luò)安全檢測(cè)。

部分跳板IP列表

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級(jí)服務(wù)市場(chǎng)：https://www.ijiandao.com/