Weitere Sprachen
English
German
فارسی
Italia
Português
Français
РУССКИЙ
Español
日本語
العربية
조선어
Melayu
TiếngViệt
ພາສາລາວ
ភាសាខ្មែរ
ภาษา:ภาษ
Indones
ျမန္မာ
MONGOL
नेपाली
हिन्दी
বাংলা
Türkçe
简体中文
繁體中文
aktueller Standort:Nachricht > news > Text
US Cyber ​​greift ein großes High-Tech-Unternehmen in der intelligenten Energie- und digitalen Informationen meines Landes an, und im National Internet Emergency Center veröffentlicht Untersuchungsbericht
2025-04-26 Quelle:Cctv.com

CCTV-Nachrichten: Am 17. Januar veröffentlichte das National Internet Emergency Center CNCERT einen Bericht, in dem die Details des Cyber-Angriffs der USA auf ein großes High-Tech-Unternehmen in der klugen Energie- und digitalen Informationen meines Landes angekündigt wurden. Zuvor wurde am 18. Dezember 2024 eine Ankündigung herausgegeben, dass zwei Cyber ​​-Angriffe auf große Technologieunternehmen in den USA entdeckt und behandelt wurden.

/> </p> <p> <p> 1. Cyber ​​-Angriffsprozess </p> <p> (i) Verwenden Sie E -Mail -Server -Schwachstellen, um </p> <p> Der E -Mail -Server des Unternehmens zu integrieren, das Microsoft Exchange -Mail -System verwendet. Der Angreifer verwendete zwei Microsoft Exchange -Schwachstellen, um anzugreifen, und verwendete zunächst einen bestimmten Benutzer, der anfällig gefälscht hat, um ein bestimmtes Konto anzugreifen, und dann eine bestimmte Deserialisierungsanfälligkeit, um erneut anzugreifen, um das Ziel der Ausführung beliebiger Code zu erreichen. </p> <p> (ii) Implantieren hoch verdeckter Speicher -Trojaner auf dem Mailserver </p> <p>, um zu vermeiden, dass der Angreifer zwei Angriffswaffen auf dem Mailserver implantiert hat, das nur im Speicher ausgeführt wird und nicht auf dem Hartscheiben gespeichert ist. Es verwendet die Virtualisierungstechnologie und die Zugriffswege der Virtual sind /owa/auth/xxx/xx.aspx und /owa/auth/xxx/yy.aspx. Zu den Hauptfunktionen von Angriffswaffen gehören ein sensibler Informationsdiebstahl, die Befehlsausführung und die Intranet -Penetration. Das Intranet -Penetrationsprogramm enthält die Erkennung der Sicherheitssoftware durch Verschleierung und leitet den Angreiferverkehr auf andere Zielgeräte weiter und erreicht den Zweck, andere Intranet -Geräte anzugreifen. </p> <p> (iii), die mehr als 30 wichtige Geräte im Intranet ausnutzen. Einschließlich PCs, Servern und Netzwerkgeräten; Zu den kontrollierten Servern gehören Mail -Server, Bürosystemserver, Code -Management -Server, Testserver, Entwicklungsverwaltungsserver und Dateiverwaltungsserver. Um eine anhaltende Kontrolle zu erreichen, implantierte der Angreifer eine Angriffs- und Diebstahlwaffe, die einen WebSocket+SSH -Tunnel auf den zuständigen Servern und Netzwerkadministratoren einrichten kann, wodurch versteckte Weiterleitung und Datendiebstahl von Anweisungen von Angreifer realisiert werden. Um zu vermeiden, dass entdeckt wird, wurde das als mit WeChat bezogene Programm WeChatxxxxxxxxx.exe verwandelte Angriffspionageprogramm getarnt. Der Angreifer implantierte außerdem zwei modulare bösartige Programme, die Pipelines verwenden, um zwischen den Prozessen auf dem Opferserver zu kommunizieren und die Konstruktion der Kommunikationspipeline zu realisieren. </p> <p> 2. Stehlen Sie eine große Menge an Geschäftsgeheimnisinformationen </p> <p> (i) Stehlen Sie eine große Menge sensibler E -Mail -Daten </p> <p> Der Angreifer verwendete das E -Mail -Server -Administratorkonto, um E -Mail -Exportvorgänge durchzuführen. Das Ziel der Diebstahlsgeheimnisse war hauptsächlich die Geschäftsleitung und das wichtige Abteilungsmitarbeiter des Unternehmens. Wenn der Angreifer den Exportbefehl ausführt, wird das Zeitintervall zum Exportieren der E -Mails festgelegt. In einigen Konten werden alle E -Mails exportiert, und in vielen Konten werden ihre E -Mails gemäß dem angegebenen Zeitintervall exportiert, um die Menge der Spionagedaten zu verringern und das Risiko einer Entdeckung zu verringern. </p> <p> (ii) Diebstahl von Kernnetzwerk -Gerätekonto- und Konfigurationsinformationen </p> <p> Der Angreifer griff die Computer von drei Netzwerkadministratoren des Unternehmens an und stahl häufig das Kernnetzgerätekonto und die Konfigurationsinformationen des Unternehmens. For example, on May 2, 2023, the attacker used the proxy server (95.179.XX.XX) located in Germany as a springboard, and then used the email server as a springboard to attack the company's network administrator computer, and stole sensitive files such as

(iii) stehlen Projektverwaltungsdateien

Der Angreifer stiehlt häufig die zugehörigen Entwicklungsprojektdaten des Unternehmens, indem er die Code -Server des Unternehmens, Entwicklungsserver usw. angreift. Zum Beispiel verwendete der Angreifer am 26. Juli 2023 den Angreifer den Proxy -Server (65.21.xx.xx) in Finnland als Federbrett. Nachdem er den Mailserver des Unternehmens angegriffen hatte, benutzte er ihn als Sprungbrett, um häufig auf die im Codeserver des Unternehmens implantierten Backdoor -Angriffswaffen zuzugreifen und bis zu 1,03 GB Daten zu stehlen. Um zu vermeiden, dass entdeckt wird, verkleidet sich das Backdoor -Programm im Open -Source -Projekt "Zen Tao" als "TIP4xxxxxxxx.php".

(iv) Klare Angriffsspuren und führen Sie die Anti-Evidenz-Analyse durch

, um zu vermeiden, dass der Angreifer nach jedem Angriff durch einen Angreifer die Angriffspflecken im Computerprotokoll löscht und die während des Angriffsdiebstahlsprozesses generierten temporären gepackten Dateien löscht. Der Angreifer wird außerdem das Systemprüfprotokoll, historische Befehlsakten, SSH-bezogene Konfigurationen usw. anzeigen, um die Erkennung von Nachweisen der Maschinen- und Kampfnetzwerksicherheitserkennung zu analysieren.

3. Eigenschaften des Angriffsverhaltens

(i) Angriffszeit

Analyse ergab, dass die Angriffsaktivität am nächsten Tag hauptsächlich zwischen 22:00 Uhr bei Peking und 8:00 im Vergleich zu 10:00 bis 20:00 Uhr am Tag der Vereinigten Staaten konzentriert war. Die Angriffszeit wurde hauptsächlich von Montag bis Freitag in den USA verteilt, und es gab keinen Angriff auf große Feiertage in den USA.

(ii) Angriffsressourcen

Von Mai 2023 bis Oktober 2023 startete der Angreifer mehr als 30 Cyber ​​-Angriffe. Das vom Angreifer verwendete Sprungbrett-IPS in Übersee wird im Grunde nicht wiederholt, was das Bewusstsein für die hohe Verkehrsfähigkeit und die reichen Reserven für Angriffsressourcen widerspiegelt.

(iii) Angriffswaffen

Die beiden vom Angreifer implantierten modularen böswilligen Programme für Pipeline -Prozesskommunikation unter "C: \\ Windows \\ System32 \\". Sie verwenden das .NET -Framework. Die Kompilierungszeit wird gelöscht, mit einer Größe von KB, hauptsächlich TLS -Verschlüsselung. Die Hauptfunktionen von Angriffswaffen, die in den Speicher des Mailservers implantiert sind, umfassen sensible Informationsdiebstahl, Befehlsausführung und Intranet -Penetration. Die in verwandten Servern und Netzwerkadministratoren implantierten Angriffs- und Diebstahlswaffe können das HTTPS -Protokoll verwenden, um einen SSH -Tunnel von WebSocket+zu erstellen, und kehrt zu einem vom Angreifer kontrollierten Domänennamen zurück.

iv. Eine Springboard-IP-Liste

/> </p> <! </div> </div> <!--<div class=-->

Leseranking
Außenministerium: China unterstützt die relevanten Parteien dabei, den Waffenstillstand und die Verhandlungsdynamik weiterhin aufrechtzuerhalten
Das Außenministerium reagierte auf die jährlichen Militärübungen zwischen den Vereinigten Staaten und den Philippinen: Eine blinde Bindung aneinander in Sicherheitsfragen würde nur zur Katastrophe führen.
Die Nummer eins der Welt, Chinas Chancen ... Die Entwicklung in mehreren Bereichen floriert, und „Zahlen“ zeigen die Vitalität der Wirtschaft
Chinas Eastern Theatre Command organisierte die Marineflotte Nr. 133, um durch die Hengdang-Wasserstraße zu segeln und Trainingsaktivitäten in den Gewässern des Westpazifiks durchzuführen.
Nachrichten vorgestellt
Chinas Eastern Theatre Command organisierte die Marineflotte Nr. 133, um durch die Hengdang-Wasserstraße zu segeln und Trainingsaktivitäten in den Gewässern des Westpazifiks durchzuführen.
Ausländische Geschäftsleute stehen an vorderster Front der „Intelligenten Fertigung in China“, und die „Verkehrsdividende“ der Canton Fair wird in die „Produktions- und Marketingeffektivität“ der Unternehmen beschleunigt.
Auf der Consumer Expo, die weltweit einkaufte und global verkaufte, konnte man beobachten, wie Chinas großer Markt mit seiner offenen Haltung weiterhin Fans auf der ganzen Welt anzieht
Die 6. Consumer Expo geht zu Ende, globale Händler teilen neue Möglichkeiten auf dem chinesischen Markt
24 Stunden Hotspot
1Chinas Eastern Theatre Command organisierte die Marineflotte Nr. 133, um durch die Hengdang-Wasserstraße zu segeln und Trainingsaktivitäten in den Gewässern des Westpazifiks durchzuführen.
2Ausländische Geschäftsleute stehen an vorderster Front der „Intelligenten Fertigung in China“, und die „Verkehrsdividende“ der Canton Fair wird in die „Produktions- und Marketingeffektivität“ der Unternehmen beschleunigt.
3Auf der Consumer Expo, die weltweit einkaufte und global verkaufte, konnte man beobachten, wie Chinas großer Markt mit seiner offenen Haltung weiterhin Fans auf der ganzen Welt anzieht
4Die 6. Consumer Expo geht zu Ende, globale Händler teilen neue Möglichkeiten auf dem chinesischen Markt
English
German
فارسی
Italia
Português
Français
РУССКИЙ
Español
日本語
العربية
조선어
Melayu
TiếngViệt
ພາສາລາວ
ភាសាខ្មែរ
ภาษา:ภาษ
Indones
ျမန္မာ
MONGOL
नेपाली
हिन्दी
বাংলা
Türkçe
简体中文
繁體中文
Unified Service Email:chinanewsonline@yeah.net
Copyright@ www.china-news-online.com