?2024年,國家互聯(lián)網(wǎng)應(yīng)急中心CNCERT發(fā)現(xiàn)處置一起美情報機構(gòu)對中國大型商用密碼產(chǎn)品提供商網(wǎng)絡(luò)攻擊事件�����。本報告將公布此事件網(wǎng)絡(luò)攻擊詳情�����,為全球相關(guān)國家、單位有效發(fā)現(xiàn)和防范美網(wǎng)絡(luò)攻擊行為提供借鑒��。
??一�����、網(wǎng)絡(luò)攻擊流程
??(一)利用客戶關(guān)系管理系統(tǒng)漏洞進行攻擊入侵
??該公司使用了某客戶關(guān)系管理系統(tǒng)���,主要用于存儲客戶關(guān)系及合同信息等�。攻擊者利用該系統(tǒng)當(dāng)時尚未曝光的漏洞進行入侵�����,實現(xiàn)任意文件上傳�����。入侵成功后��,攻擊者為清除攻擊痕跡�,刪除了部分日志記錄��。
??(二)對兩個系統(tǒng)進行攻擊并植入特種木馬程序
??2024年3月5日�,攻擊者在客戶關(guān)系管理系統(tǒng)植入了特種木馬程序��,路徑為/crm/WxxxxApp/xxxxxx/xxx.php���。攻擊者可以通過該木馬程序,執(zhí)行任意的網(wǎng)絡(luò)攻擊命令��。為防止被監(jiān)測發(fā)現(xiàn)����,木馬程序通信數(shù)據(jù)全過程加密,并進行特征字符串編碼����、加密、壓縮等一系列復(fù)雜處理�。2024年5月20日,攻擊者通過橫向移動�,開始攻擊該公司用于產(chǎn)品及項目代碼管理的系統(tǒng)。
??二����、竊取大量商業(yè)秘密信息
??(一)竊取客戶及合同信息
??2024年3月至9月,攻擊者用14個境外跳板IP連接特種木馬程序并竊取客戶關(guān)系管理系統(tǒng)中的數(shù)據(jù)��,累計竊取數(shù)據(jù)量達(dá)950MB����??蛻絷P(guān)系管理系統(tǒng)中有用戶600余個��,存儲客戶檔案列表8000余條�����,合同訂單1萬余條�����,合同客戶包括我相關(guān)政府部門等多個重要單位�。攻擊者可以查看合同的名稱、采購內(nèi)容��、金額等詳細(xì)信息�。
??(二)竊取項目信息
??2024年5月至7月,攻擊者用3個境外跳板IP攻擊該公司的代碼管理系統(tǒng)�,累計竊取數(shù)據(jù)量達(dá)6.2GB。代碼管理系統(tǒng)中有用戶44個���,存儲了3個密碼研發(fā)項目的代碼等重要信息。
??三���、攻擊行為特點
??(一)攻擊武器
??通過對xxx.php特種木馬程序的逆向分析�,發(fā)現(xiàn)其與美情報機構(gòu)前期使用的攻擊武器具有明確同源關(guān)系。
??(二)攻擊時間
??分析發(fā)現(xiàn)���,攻擊時間主要集中在北京時間22時至次日8時����,相對于美國東部時間為10時至20時���。攻擊時間主要分布在美國時間的星期一至星期五��,在美國主要節(jié)假日未出現(xiàn)攻擊行為��。
??(三)攻擊資源
??攻擊者使用的17個攻擊IP完全不重復(fù)�,同時可秒級切換攻擊IP�。攻擊IP位于荷蘭、德國和韓國等地����,反映出其高度的反溯源意識和豐富的攻擊資源儲備。
??(四)攻擊手法
??一是善于利用開源或通用工具偽裝躲避溯源����,例如在客戶關(guān)系管理系統(tǒng)中還發(fā)現(xiàn)了攻擊者臨時植入的2個常見的網(wǎng)頁木馬���。二是攻擊者善于通過刪除日志和木馬程序,隱藏自身的攻擊行為���。
??四��、部分跳板IP列表
編輯:吳明富
冀公網(wǎng)安備13070202002158號