利用微软Exchange漏洞 国家互联网应急中心:发现处置两起美对我国攻击事件
1月17日消息,今日,据国家互联网应急中心消息,国家互联网应急中心发现处置两起美对我大型科技企业机构进行网络攻击窃取商业秘密事件。
2023年5月起,我国某智慧能源和数字信息大型高科技企业遭疑似美国情报机构网络攻击。
经分析,攻击者使用多个境外跳板,利用微软Exchange漏洞,入侵控制该公司邮件服务器并植入后门程序,持续窃取邮件数据。
为避免被发现,攻击者在邮件服务器中植入了2个攻击武器,仅在内存中运行,不在硬盘存储。
其利用了虚拟化技术,虚拟的访问路径为/owa/auth/xxx/xx.aspx和/owa/auth/xxx/yy.aspx,攻击武器主要功能包括敏感信息窃取、命令执行以及内网穿透等。
内网穿透程序通过混淆来逃避安全软件检测,将攻击者流量转发给其他目标设备,达到攻击内网其他设备的目的。
同时,攻击者又以该邮件服务器为跳板,攻击控制该公司及其下属企业30余台设备,窃取该公司大量商业秘密信息。
攻击者每次攻击后,都会清除计算机日志中攻击痕迹,并删除攻击窃密过程中产生的临时打包文件。
攻击者还会查看系统审计日志、历史命令记录、SSH相关配置等,意图分析机器被取证情况,对抗网络安全检测。
部分跳板IP列表
免责声明:本文章由会员“极目新闻”发布如果文章侵权,请联系我们处理,本站仅提供信息存储空间服务如因作品内容、版权和其他问题请于本站联系