利用微软Exchange漏洞 国家互联网应急中心：发现处置两起美对我国攻击事件

麦享科技1月17日消息，今日，据国家互联网应急中心消息，国家互联网应急中心发现处置两起美对我大型科技企业机构进行网络攻击窃取商业秘密事件。

2023年5月起，我国某智慧能源和数字信息大型高科技企业遭疑似美国情报机构网络攻击。

经分析，攻击者使用多个境外跳板，利用微软Exchange漏洞，入侵控制该公司邮件服务器并植入后门程序，持续窃取邮件数据。

为避免被发现，攻击者在邮件服务器中植入了2个攻击武器，仅在内存中运行，不在硬盘存储。

其利用了虚拟化技术，虚拟的访问路径为/owa/auth/xxx/xx.aspx和/owa/auth/xxx/yy.aspx，攻击武器主要功能包括敏感信息窃取、命令执行以及内网穿透等。

内网穿透程序通过混淆来逃避安全软件检测，将攻击者流量转发给其他目标设备，达到攻击内网其他设备的目的。

同时，攻击者又以该邮件服务器为跳板，攻击控制该公司及其下属企业30余台设备，窃取该公司大量商业秘密信息。

攻击者每次攻击后，都会清除计算机日志中攻击痕迹，并删除攻击窃密过程中产生的临时打包文件。

攻击者还会查看系统审计日志、历史命令记录、SSH相关配置等，意图分析机器被取证情况，对抗网络安全检测。

部分跳板IP列表

2024年8月起，我国某先进材料设计研究单位遭疑似美国情报机构网络攻击。

经分析，攻击者利用我境内某电子文档安全管理系统漏洞，入侵该公司部署的软件升级管理服务器，通过软件升级服务向该公司的270余台主机投递控制木马，窃取该公司大量商业秘密信息和知识产权。

2024年11月6日至11月16日，攻击者利用3个不同的跳板IP三次入侵该软件升级管理服务器，向个人主机植入木马，这些木马已内置与受害单位工作内容高度相关的特定关键词，搜索到包含特定关键词的文件后即将相应文件窃取并传输至境外。

这三次窃密活动使用的关键词均不相同，显示出攻击者每次攻击前均作了精心准备，具有很强的针对性。三次窃密行为共窃取重要商业信息、知识产权文件共4.98GB。

分析发现，此次攻击时间主要集中在北京时间22时至次日8时，相对于美国东部时间为白天时间10时至20时，攻击时间主要分布在美国时间的星期一至星期五，在美国主要节假日未出现攻击行为。

部分跳板IP列表

   

网购比价查优惠券就用麦享生活
领打车|外卖红包|美团|抖音团购也用麦享生活
各大应用商店均可搜索安装【麦享生活APP】