【安全圈】国家互联网应急中心通报两起美方对我国网络攻击事件
2025-1-18 11:0:0 Author: mp.weixin.qq.com(查看原文) 阅读量:1 收藏

关键词

攻击

根据国家互联网应急中心最新通报,自2023年5月起,我国某大型智慧能源与数字信息企业成为疑似美国情报机构发动的网络攻击目标。攻击者利用微软Exchange存在的漏洞,通过境外多个跳板服务器入侵了该企业的邮件服务器,并在服务器内植入了后门程序,持续窃取敏感邮件数据。
此次攻击者通过在邮件服务器中隐蔽植入两个只在内存中运行的攻击武器,避免了硬盘存储,降低了被发现的风险。这些攻击工具通过虚拟化技术隐藏访问路径,具体路径包括 /owa/auth/xxx/xx.aspx/owa/auth/xxx/yy.aspx。这些恶意程序的主要功能包括敏感信息窃取、远程命令执行以及内网穿透。
在网络内部,攻击者通过混淆技术规避了安全软件的检测,使得流量能够转发到其他目标设备,从而进一步渗透企业内网,成功攻击并控制了超过30台设备,窃取了大量商业机密信息。
为了掩盖其攻击痕迹,攻击者在每次渗透之后,会清除系统日志和删除在攻击过程中产生的临时文件。更为隐蔽的是,攻击者还审查了系统的审计日志、历史命令记录以及SSH配置,意图分析可能的取证迹象并绕过网络安全检测。
此次事件揭示了微软Exchange漏洞被广泛利用的风险,国家互联网应急中心已经采取紧急处置措施,严密监控并加强对相关企业的安全防护,避免此类事件的进一步蔓延。

相关攻击者跳板IP列表如下:

   END  

阅读推荐

【安全圈】支付宝P0级重大事故:整整5分钟所有订单打8折,官方回应:不向用户追款

【安全圈】诈骗者利用加州野火,冒充消防救援服务

【安全圈】新的 UEFI 安全启动绕过漏洞使系统暴露于恶意 Bootkit

【安全圈】攻击者在图片中嵌入恶意代码传播窃密程序

【安全圈】2024年12月涉国内数据泄露事件汇总

安全圈

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握!

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧!


文章来源: https://mp.weixin.qq.com/s?__biz=MzIzMzE4NDU1OQ==&mid=2652067460&idx=2&sn=1eeea145994ab308cf3f78f1ca987a19&chksm=f36e7ac4c419f3d249013e9e085dface206bc6cc4b5b7f6d7808a9eb3d92fe36d14ea01b7261&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh