CCTVニュース:1月17日、National Internet Emeryments Center CNCERTがレポートを発表し、私の国のスマートエネルギーとデジタル情報における大規模なハイテク企業に対する米国のサイバー攻撃の詳細を発表しました。以前は、2024年12月18日に、米国の大規模なテクノロジー企業に対する2つのサイバー攻撃が発見され、対処されたという発表が発行されました。
1。サイバー攻撃プロセス
(i)メールサーバーの脆弱性を使用して侵入します
会社のメールサーバーはMicrosoft Exchange Mail Systemを使用します。攻撃者は、2つのMicrosoft Exchangeの脆弱性を攻撃し、最初に特定のユーザーが特定のアカウントを攻撃するために脆弱性を偽造し、次に特定のDeserializationの脆弱性を使用して再び攻撃し、任意のコードを実行するという目標を達成しました。
(ii)郵便サーバーに高度に隠されたメモリトロイの木馬を埋め込む
発見されないように、攻撃者はメモリでのみ実行され、ハードディスクに保存されていないメールサーバーに2つの攻撃武器を埋め込みました。仮想化テクノロジーを使用し、仮想のアクセスパスは/owa/auth/xxx/xx.aspxおよび/owa/auth/xxx/yy.aspxです。攻撃武器の主な機能には、敏感な情報盗難、コマンドの実行、およびイントラネットの浸透が含まれます。イントラネット浸透プログラムは、難読化を通じてセキュリティソフトウェアの検出を回避し、攻撃者のトラフィックを他のターゲットデバイスに転送し、他のイントラネットデバイスを攻撃する目的を達成します。
(iii)イントラネット内の30を超える重要なデバイスを活用する
攻撃者は、メールサーバーをスプリングボードとして使用し、イントラネットスキャンと浸透を使用して、イントラネットに隠された暗号化されたトランスミッショントンネルを確立し、SSH、SMBおよびその他の方法を介して30を超える重要なデバイスをログインおよび制御します。パーソナルコンピューター、サーバー、ネットワーク機器を含む。制御されたサーバーには、メールサーバー、オフィスシステムサーバー、コード管理サーバー、テストサーバー、開発管理サーバー、ファイル管理サーバーが含まれます。永続的な制御を実現するために、攻撃者は、関連するサーバーとネットワーク管理者コンピューターにWebSocket+SSHトンネルを確立できる攻撃と盗みの武器を埋め込み、攻撃者の指示の隠された転送とデータの盗難を実現しました。発見されることを避けるために、攻撃スパイプログラムはWeChat関連プログラムwechatxxxxxxxxx.exeに変装しました。攻撃者はまた、パイプパイプラインを使用して2つのモジュール式の悪意のあるプログラムを埋め込み、被害者サーバーのプロセス間で通信し、通信パイプラインの構築を実現しました。
2。大量の企業秘密情報を盗む
(i)大量の機密の電子メールデータを盗む
攻撃者は、電子メールサーバー管理者アカウントを使用して電子メールエクスポート操作を実行しました。盗みの秘密の目標は、主に会社の上級管理職と重要な部門職員でした。攻撃者がエクスポートコマンドを実行すると、電子メールをエクスポートするための時間間隔が設定されます。一部のアカウントにはすべての電子メールがエクスポートされており、多くのアカウントには、指定された時間間隔に従って電子メールがエクスポートされ、スパイデータの量を減らし、発見されるリスクを軽減します。
(ii)コアネットワーク機器アカウントと構成情報を盗む
攻撃者は、会社の3人のネットワーク管理者のコンピューターを攻撃し、頻繁に会社のコアネットワーク機器アカウントと構成情報を盗みました。たとえば、2023年5月2日に、攻撃者はドイツにあるプロキシサーバー(95.179.xx.xx)をスプリングボードとして使用し、その後、電子メールサーバーをスプリングボードとして使用して会社のネットワーク管理者コンピューターを攻撃し、「ネットワークコアデバイス構成テーブル」、コアネットワークデバイス構成、「統計」の「agportology」」などの「ネットワークネットワークデバイス構成」などの敏感なファイルを盗みました。 「インターネット制御ゲートウェイの購入のリクエスト」。
(iii)プロジェクト管理ファイルを盗む
攻撃者は、同社のコードサーバー、開発サーバーなどを2023年7月26日に攻撃することにより、会社の関連開発プロジェクトデータを頻繁に盗みます。会社のメールサーバーを攻撃した後、彼はそれをスプリングボードとして使用して、会社のコードサーバーに移植されたバックドア攻撃武器に頻繁にアクセスし、最大1.03GBのデータを盗みました。発見されないように、バックドアプログラムは、オープンソースプロジェクト「Zen Tao」のファイル「TIP4XXXXXXXXX.PHP」に変装します。
(iv)クリア攻撃の痕跡をクリアし、反証想分析を実施して、攻撃者による各攻撃の後、攻撃者がコンピューターログ内の攻撃トレースをクリアし、攻撃盗難プロセス中に生成された一時的なパッケージファイルを削除します。また、攻撃者は、マシンと戦闘ネットワークセキュリティ検出の証拠収集を分析するために、システム監査ログ、履歴コマンドレコード、SSH関連の構成などを表示します。
3。攻撃行動の特徴
(i)攻撃時間
分析では、攻撃活動は主に北京時間から翌日の8時の間に集中していることがわかりました。攻撃時間は、主に米国で月曜日から金曜日まで分配され、米国の主要な休日に攻撃はありませんでした。
(ii)攻撃リソース
2023年5月から2023年10月まで、攻撃者は30を超えるサイバー攻撃を開始しました。攻撃者が使用する海外の踏み台のIPは、基本的に繰り返されず、その高い反感情の認識と攻撃リソースの豊富な埋蔵量を反映しています。
(iii)攻撃武器
攻撃者が埋め込んだパイプパイプラインプロセス通信の2つのモジュラー悪意のあるプログラムは、「c:\\ windows \\ system32 \\」の下にあります。 .NETフレームワークを使用します。コンピレーション時間は、主にTLS暗号化の数十KBで消去されます。メールサーバーのメモリに埋め込まれた攻撃武器の主な機能には、機密情報の盗難、コマンドの実行、およびイントラネットの浸透が含まれます。関連するサーバーおよびネットワーク管理者コンピューターに埋め込まれた攻撃と盗みの武器は、HTTPSプロトコルを使用してWebSocket+SSHトンネルを確立し、攻撃者によって制御されるドメイン名に戻ります。
iv。いくつかのスプリングボードIPリスト
-->
