国家互联网应急中心通报两起美方对我国网络攻击事件

根据国家互联网应急中心最新通报，自2023年5月起，我国某大型智慧能源与数字信息企业成为疑似美国情报机构发动的网络攻击目标。攻击者利用微软Exchange存在的漏洞，通过境外多个跳板服务器入侵了该企业的邮件服务器，并在服务器内植入了后门程序，持续窃取敏感邮件数据。此次攻击者通过在邮件服务器中隐蔽植入两个只在内存中运行的攻击武器，避免了硬盘存储，降低了被发现的风险。这些攻击工具通过虚拟化技术隐藏访问路径，具体路径包括/owa/auth/xxx/xx.aspx和/owa/auth/xxx/yy.aspx。这些恶意程序的主要功能包括敏感信息窃取、远程命令执行以及内网穿透。在网络内部，攻击者通过混淆技术规避了安全软件的检测，使得流量能够转发到其他目标设备，从而进一步渗透企业内网，成功攻击并控制了超过30台设备，窃取了大量商业机密信息。为了掩盖其攻击痕迹，攻击者在每次渗透之后，会清除系统日志和删除在攻击过程中产生的临时文件。更为隐蔽的是，攻击者还审查了系统的审计日志、历史命令记录以及SSH配置，意图分析可能的取证迹象并绕过网络安全检测。此次事件揭示了微软Exchange漏洞被广泛利用的风险，国家互联网应急中心已经采取紧急处置措施，严密监控并加强对相关企业的安全防护，避免此类事件的进一步蔓延。

相关攻击者跳板IP列表如下：

文章来源：国家互联网应急中心

黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途及盈利等目的，否则后果自行承担！

如侵权请私聊我们删文

END