2024年12月18日,国家互联网应急中心CNCERT发布公告,发现并处置了两起针对我国大型科技企业的网络攻击事件。报告详细描述了对某先进材料设计研究院的网络攻击情况,为全球相关国家和单位提供防范参考。
攻击者于2024年8月19日利用该单位电子文件系统的注入漏洞入侵系统,窃取了管理员账号和密码信息。两天后,攻击者使用这些凭证登录被攻击系统的管理后台。
8月21日中午,攻击者在电子文件系统中部署了后门程序和定制化木马程序。这些恶意程序仅存在于内存中,不存储在硬盘上,以逃避检测。木马程序用于接收从涉事单位被控个人计算机上窃取的敏感文件,访问路径为/xxx/xxxx?flag=syn_user_policy。后门程序则将窃取的敏感文件聚合后传输到境外,访问路径是/xxx/xxxStats。
11月6日、8日和16日,攻击者利用电子文档服务器的软件升级功能,向该单位276台主机植入特种木马程序。这些木马程序的主要功能包括扫描和窃取敏感文件以及受攻击者的登录账密等个人信息,并且即用即删。
攻击者多次通过中国境内的IP跳板登录到软件升级管理服务器,入侵受害单位内网主机,并反复进行全盘扫描,发现潜在攻击目标,掌握该单位工作内容。11月6日至11月16日期间,攻击者三次利用不同跳板IP入侵该软件升级管理服务器,向个人主机植入内置特定关键词的木马,搜索并窃取包含这些关键词的文件,共窃取重要商业信息和知识产权文件4.98GB。
分析显示,此次攻击时间主要集中在北京时间22时至次日8时,相当于美国东部时间白天10时至20时,且主要发生在周一至周五,在美国主要节假日未出现攻击行为。攻击者使用的5个跳板IP位于德国和罗马尼亚等地,表现出高度的反溯源意识和丰富的攻击资源储备。
攻击者善于利用开源或通用工具伪装躲避溯源,此次发现的后门程序为开源通用后门工具。此外,重要后门和木马程序仅在内存中运行,不在硬盘中存储,增加了被发现的难度。攻击者篡改了电子文件系统的客户端分发程序,通过软件客户端升级功能,快速精准地向276台个人主机投递木马程序,进行信息搜集和窃取,显示出强大的攻击能力。
