美网络攻击我国某智慧能源和数字信息大型高科技企业事件调查报告

主要观点总结

本文是关于国家互联网应急中心CNCERT公布的两起针对我国某大型高科技企业的网络攻击事件的详细信息报告。报告详细描述了攻击流程、窃取的大量商业秘密信息、攻击行为特点以及部分跳板IP列表。

关键观点总结

关键观点1: 网络攻击事件概述

国家互联网应急中心CNCERT发现并处置了两起针对我国某智慧能源和数字信息大型高科技企业的网络攻击事件。报告为全球相关国家和单位提供了有效防范此类攻击的经验借鉴。

关键观点2: 网络攻击流程

攻击者利用邮件服务器漏洞进行入侵，通过植入内存木马、利用虚拟化技术实现敏感信息窃取和内网穿透等功能，并对内网30余台重要设备发起攻击。

关键观点3: 窃取大量商业秘密信息

攻击者窃取了大量敏感邮件数据、核心网络设备账号及配置信息、项目管理文件等商业秘密信息。

关键观点4: 攻击行为特点

攻击时间主要集中在美国时间的白天工作日，且在美国主要节假日未出现攻击行为。攻击者具备高度的反溯源意识和丰富的攻击资源储备。

文章预览

2024年12月18日，国家互联网应急中心CNCERT发布公告(https://www.cert.org.cn/publish/main/8/2024/20241218184234131217571/20241218184234131217571_.html)，发现处置两起美对我大型科技企业机构网络攻击事件。本报告将公布对其中我国某智慧能源和数字信息大型高科技企业的网络攻击详情，为全球相关国家、单位有效发现和防范美网络攻击行为提供借鉴。 一、网络攻击流程 （一）利用邮件服务器漏洞进行入侵 该公司邮件服务器使用微软Exchange邮件系统。攻击者利用2个微软Exchange漏洞进行攻击，首先利用某任意用户伪造漏洞针对特定账户进行攻击，然后利用某反序列化漏洞再次进行攻击，达到执行任意代码的目标。 （二）在邮件服务器植入高度隐蔽的内存木马 为避免被发现，攻击者在邮件服务器中植入了2个攻击武器，仅在内存中运行，不在硬盘存储。其利用了虚拟化技术， ………………………………