ภาษาเพิ่มเติม
English
German
فارسی
Italia
Português
Français
РУССКИЙ
Español
日本語
العربية
조선어
Melayu
TiếngViệt
ພາສາລາວ
ភាសាខ្មែរ
ภาษา:ภาษ
Indones
ျမန္မာ
MONGOL
नेपाली
हिन्दी
বাংলা
Türkçe
简体中文
繁體中文
สถานที่ปัจจุบัน:ข่าว > news > ข้อความ
สหรัฐฯไซเบอร์โจมตีองค์กรไฮเทคขนาดใหญ่ในข้อมูลพลังงานอัจฉริยะและข้อมูลดิจิทัลของประเทศของฉันและศูนย์ฉุกเฉินทางอินเทอร์เน็ตแห่งชาติเผยแพร่รายงานการสอบสวน
2025-04-26 แหล่งที่มา:cctv.com

CCTV News: เมื่อวันที่ 17 มกราคมศูนย์ฉุกเฉินทางอินเทอร์เน็ตแห่งชาติ CNCERT ออกรายงานประกาศรายละเอียดของการโจมตีไซเบอร์ของสหรัฐฯในองค์กรไฮเทคขนาดใหญ่ในข้อมูลพลังงานอัจฉริยะและดิจิตอลของประเทศของฉัน ก่อนหน้านี้มีการประกาศเมื่อวันที่ 18 ธันวาคม 2567 ว่าการโจมตีทางไซเบอร์สองครั้งใน บริษัท เทคโนโลยีขนาดใหญ่ในสหรัฐอเมริกาถูกค้นพบและจัดการกับ

/> </p> <p> 1 กระบวนการโจมตีไซเบอร์ </p> <p> (i) ใช้ช่องโหว่เซิร์ฟเวอร์เมลเพื่อบุกรุก </p> <p> เซิร์ฟเวอร์เมลของ บริษัท ใช้ระบบ Microsoft Exchange Mail ผู้โจมตีใช้ช่องโหว่การแลกเปลี่ยนของ Microsoft สองครั้งก่อนใช้ผู้ใช้บางรายที่ปลอมแปลงช่องโหว่เพื่อโจมตีบัญชีที่เฉพาะเจาะจงจากนั้นใช้ช่องโหว่ deserialization บางอย่างเพื่อโจมตีอีกครั้งเพื่อให้บรรลุเป้าหมายในการดำเนินการรหัสโดยพลการ </p> <p> (ii) การปลูกฝังโทรจันหน่วยความจำที่ซ่อนเร้นอย่างสูงบนเซิร์ฟเวอร์เมล </p> <p> เพื่อหลีกเลี่ยงการถูกค้นพบผู้โจมตีปลูกฝังอาวุธโจมตีสองตัวในเซิร์ฟเวอร์เมลซึ่งทำงานในหน่วยความจำเท่านั้นและไม่ได้เก็บไว้ในฮาร์ดดิสก์ มันใช้เทคโนโลยีการจำลองเสมือนและเส้นทางการเข้าถึงของเสมือนคือ /owa/auth/xxx/xx.aspx และ /wa/auth/xxx/yy.aspx ฟังก์ชั่นหลักของอาวุธโจมตีรวมถึงการขโมยข้อมูลที่ละเอียดอ่อนการดำเนินการตามคำสั่งและการเจาะอินทราเน็ต โปรแกรมการเจาะอินทราเน็ตหลีกเลี่ยงการตรวจจับซอฟต์แวร์ความปลอดภัยผ่านการทำให้งงงวยและส่งต่อการรับส่งข้อมูลผู้โจมตีไปยังอุปกรณ์เป้าหมายอื่น ๆ เพื่อให้บรรลุวัตถุประสงค์ในการโจมตีอุปกรณ์อินทราเน็ตอื่น ๆ </p> <p> (iii) ใช้ประโยชน์จากอุปกรณ์สำคัญมากกว่า 30 ตัวในอินทราเน็ต </p> <p> ผู้โจมตีใช้เซิร์ฟเวอร์เมลเป็นกระดานกระโดดน้ำและใช้การสแกนอินทราเน็ตและการเจาะเพื่อสร้างอุโมงค์ส่งสัญญาณที่ซ่อนอยู่ในอินทราเน็ต รวมถึงคอมพิวเตอร์ส่วนบุคคลเซิร์ฟเวอร์และอุปกรณ์เครือข่าย เซิร์ฟเวอร์ที่ควบคุม ได้แก่ เซิร์ฟเวอร์เมลเซิร์ฟเวอร์ระบบสำนักงานเซิร์ฟเวอร์การจัดการรหัสเซิร์ฟเวอร์ทดสอบเซิร์ฟเวอร์การจัดการการพัฒนาและเซิร์ฟเวอร์การจัดการไฟล์ เพื่อให้บรรลุการควบคุมอย่างต่อเนื่องผู้โจมตีได้ทำการฝังอาวุธโจมตีและขโมยอาวุธที่สามารถสร้างอุโมงค์ WebSocket+SSH ในเซิร์ฟเวอร์ที่เกี่ยวข้องและคอมพิวเตอร์ผู้ดูแลระบบเครือข่ายตระหนักถึงการส่งต่อที่ซ่อนอยู่และการขโมยข้อมูลของคำแนะนำผู้โจมตี เพื่อหลีกเลี่ยงการถูกค้นพบโปรแกรมจารกรรมการโจมตีซึ่งปลอมตัวเป็นโปรแกรมที่เกี่ยวข้องกับ WeChatxxxxxxxx.exe ผู้โจมตียังปลูกฝังโปรแกรมที่เป็นอันตรายสองแบบโดยใช้ท่อท่อเพื่อสื่อสารระหว่างกระบวนการในเซิร์ฟเวอร์เหยื่อโดยตระหนักถึงการสร้างท่อส่งการสื่อสาร </p> <p> 2 ขโมยข้อมูลความลับทางการค้าจำนวนมาก </p> <p> (i) ขโมยข้อมูลอีเมลที่ละเอียดอ่อนจำนวนมาก </p> <p> ผู้โจมตีใช้บัญชีผู้ดูแลระบบเซิร์ฟเวอร์อีเมลเพื่อดำเนินการส่งออกอีเมล เป้าหมายของการขโมยความลับส่วนใหญ่เป็นผู้บริหารระดับสูงของ บริษัท และบุคลากรแผนกที่สำคัญ เมื่อผู้โจมตีดำเนินการคำสั่งส่งออกช่วงเวลาสำหรับการส่งออกอีเมลจะถูกตั้งค่า บัญชีบางบัญชีมีการส่งออกอีเมลทั้งหมดและบัญชีจำนวนมากมีการส่งออกอีเมลตามช่วงเวลาที่กำหนดเพื่อลดจำนวนข้อมูลการจารกรรมและลดความเสี่ยงของการถูกค้นพบ </p> <p> (ii) การขโมยบัญชีอุปกรณ์เครือข่ายหลักและข้อมูลการกำหนดค่า </p> <p> ผู้โจมตีโจมตีคอมพิวเตอร์ของผู้ดูแลระบบเครือข่ายสามคนของ บริษัท และขโมยบัญชีอุปกรณ์เครือข่ายหลักของ บริษัท บ่อยครั้งและข้อมูลการกำหนดค่า ตัวอย่างเช่นเมื่อวันที่ 2 พฤษภาคม 2566 ผู้โจมตีใช้พร็อกซีเซิร์ฟเวอร์ (95.179.xx.xx) ที่ตั้งอยู่ในประเทศเยอรมนีเป็นกระดานกระโดดน้ำจากนั้นใช้เซิร์ฟเวอร์อีเมลเป็นกระดานกระโดดน้ำเพื่อโจมตีคอมพิวเตอร์ผู้ดูแลระบบเครือข่ายของ บริษัท สถิติ

(iii) ขโมยไฟล์การจัดการโครงการ

ผู้โจมตีขโมยข้อมูลโครงการพัฒนาที่เกี่ยวข้องของ บริษัท บ่อยครั้งโดยการโจมตีเซิร์ฟเวอร์รหัสของ บริษัท เซิร์ฟเวอร์การพัฒนา ฯลฯ ตัวอย่างเช่นเมื่อวันที่ 26 กรกฎาคม 2023 ผู้โจมตีใช้เซิร์ฟเวอร์พร็อกซี (65.21.xx.xx) หลังจากโจมตีเซิร์ฟเวอร์เมลของ บริษัท เขาใช้มันเป็นกระดานกระโดดน้ำเพื่อเข้าถึงอาวุธโจมตีแบ็คดอร์ที่ฝังอยู่ในเซิร์ฟเวอร์รหัสของ บริษัท โดยขโมยข้อมูลสูงสุด 1.03GB เพื่อหลีกเลี่ยงการถูกค้นพบโปรแกรม backdoor ปลอมตัวเป็นไฟล์ "TIP4XXXXXXXX.php" ในโครงการโอเพ่นซอร์ส "Zen Tao"

(iv) ร่องรอยการโจมตีที่ชัดเจนและดำเนินการวิเคราะห์ต่อต้านหลักฐาน

เพื่อหลีกเลี่ยงการถูกค้นพบหลังจากการโจมตีแต่ละครั้งโดยผู้โจมตีผู้โจมตีจะล้างร่องรอยการโจมตีในบันทึกคอมพิวเตอร์และลบไฟล์แพคเกจชั่วคราวที่สร้างขึ้นระหว่างกระบวนการขโมยการโจมตี ผู้โจมตีจะดูบันทึกการตรวจสอบระบบบันทึกคำสั่งในอดีตการกำหนดค่าที่เกี่ยวข้องกับ SSH ฯลฯ ในความพยายามที่จะวิเคราะห์การรวบรวมหลักฐานของเครื่องและการตรวจจับความปลอดภัยของเครือข่าย

3 ลักษณะของพฤติกรรมการโจมตี

(i) เวลาโจมตี

การวิเคราะห์พบว่ากิจกรรมการโจมตีส่วนใหญ่มีความเข้มข้นระหว่างเวลา 22:00 น. ปักกิ่งและ 8:00 ในวันถัดไปเมื่อเทียบกับ 10:00 ถึง 20:00 ในเวลากลางวันของสหรัฐอเมริกา เวลาการโจมตีส่วนใหญ่กระจายตั้งแต่วันจันทร์ถึงวันศุกร์ในสหรัฐอเมริกาและไม่มีการโจมตีในวันหยุดสำคัญในสหรัฐอเมริกา

(ii) ทรัพยากรการโจมตี

ตั้งแต่เดือนพฤษภาคม 2566 ถึงตุลาคม 2566 ผู้โจมตีเปิดตัวการโจมตีทางไซเบอร์มากกว่า 30 ครั้ง IPS กระดานกระโดดน้ำในต่างประเทศที่ใช้โดยผู้โจมตีนั้นไม่ได้เกิดขึ้นซ้ำ ๆ ซึ่งสะท้อนให้เห็นถึงการรับรู้การต่อต้านการหลงผิดที่สูงและแหล่งทรัพยากรการโจมตีที่อุดมสมบูรณ์

(iii) การโจมตีอาวุธ

โปรแกรมที่เป็นอันตรายแบบแยกส่วนสองโปรแกรมสำหรับการสื่อสารกระบวนการท่อท่อที่ฝังโดยผู้โจมตีอยู่ภายใต้ "c: \\ windows \\ system32 \\" พวกเขาใช้. NET Framework เวลาการรวบรวมจะถูกลบด้วยขนาดหนึ่งสิบของ KB ส่วนใหญ่การเข้ารหัส TLS ฟังก์ชั่นหลักของอาวุธโจมตีที่ฝังอยู่ในหน่วยความจำของ Mail Server รวมถึงการขโมยข้อมูลที่ละเอียดอ่อนการดำเนินการคำสั่งและการเจาะอินทราเน็ต การโจมตีและการขโมยอาวุธที่ฝังอยู่ในเซิร์ฟเวอร์ที่เกี่ยวข้องและคอมพิวเตอร์ผู้ดูแลระบบเครือข่ายสามารถใช้โปรโตคอล HTTPS เพื่อสร้างอุโมงค์ WebSocket+SSH และจะกลับไปที่ชื่อโดเมนที่ควบคุมโดยผู้โจมตี

iv รายการ IP Springboard บางรายการ

/> </div> </div> <!--<div class=-->

อันดับการอ่าน
กระทรวงการต่างประเทศ: จีนสนับสนุนทุกฝ่ายที่เกี่ยวข้องเพื่อรักษาการหยุดยิงและโมเมนตัมการเจรจาต่อไป
กระทรวงการต่างประเทศตอบสนองต่อการซ้อมรบประจำปีระหว่างสหรัฐอเมริกาและฟิลิปปินส์: การผูกมัดด้านความมั่นคงแบบสุ่มสี่สุ่มห้าจะนำไปสู่ภัยพิบัติเท่านั้น
โอกาสอันดับหนึ่งของโลก... การพัฒนาหลายสาขากำลังเฟื่องฟู และ "ตัวเลข" อ่านถึงความมีชีวิตชีวาของเศรษฐกิจ
กองบัญชาการละครตะวันออกของจีนจัดกองเรือหมายเลข 133 เพื่อแล่นผ่านเส้นทางน้ำ Hengdang และดำเนินกิจกรรมการฝึกอบรมในน่านน้ำแปซิฟิกตะวันตก
ข่าวเด่น
กองบัญชาการละครตะวันออกของจีนจัดกองเรือหมายเลข 133 เพื่อแล่นผ่านเส้นทางน้ำ Hengdang และดำเนินกิจกรรมการฝึกอบรมในน่านน้ำแปซิฟิกตะวันตก
นักธุรกิจต่างชาติเจาะลึกแนวหน้าของ "การผลิตอัจฉริยะในประเทศจีน" และ "เงินปันผลจากการเข้าชม" ของงานแคนตันแฟร์ก็เร่งตัวเข้าสู่ "ประสิทธิภาพการผลิตและการตลาด" ขององค์กรต่างๆ
การซื้อทั่วโลกและการขายทั่วโลก Consumer Expo ได้เห็นตลาดขนาดใหญ่ของจีนที่ดึงดูดแฟน ๆ ทั่วโลกอย่างต่อเนื่องด้วยทัศนคติที่เปิดกว้าง
งาน Consumer Expo ครั้งที่ 6 สิ้นสุดลง ผู้ค้าทั่วโลกแบ่งปันโอกาสใหม่ ๆ ในตลาดจีน
ฮอตสปอตตลอด 24 ชั่วโมง
1กองบัญชาการละครตะวันออกของจีนจัดกองเรือหมายเลข 133 เพื่อแล่นผ่านเส้นทางน้ำ Hengdang และดำเนินกิจกรรมการฝึกอบรมในน่านน้ำแปซิฟิกตะวันตก
2นักธุรกิจต่างชาติเจาะลึกแนวหน้าของ "การผลิตอัจฉริยะในประเทศจีน" และ "เงินปันผลจากการเข้าชม" ของงานแคนตันแฟร์ก็เร่งตัวเข้าสู่ "ประสิทธิภาพการผลิตและการตลาด" ขององค์กรต่างๆ
3การซื้อทั่วโลกและการขายทั่วโลก Consumer Expo ได้เห็นตลาดขนาดใหญ่ของจีนที่ดึงดูดแฟน ๆ ทั่วโลกอย่างต่อเนื่องด้วยทัศนคติที่เปิดกว้าง
4งาน Consumer Expo ครั้งที่ 6 สิ้นสุดลง ผู้ค้าทั่วโลกแบ่งปันโอกาสใหม่ ๆ ในตลาดจีน
English
German
فارسی
Italia
Português
Français
РУССКИЙ
Español
日本語
العربية
조선어
Melayu
TiếngViệt
ພາສາລາວ
ភាសាខ្មែរ
ภาษา:ภาษ
Indones
ျမန္မာ
MONGOL
नेपाली
हिन्दी
বাংলা
Türkçe
简体中文
繁體中文
Unified Service Email:chinanewsonline@yeah.net
Copyright@ www.china-news-online.com