曝光！我国某先进材料设计研究院遭美国网络攻击，国家互联网应急中心调查报告披露真相

网络攻击揭秘：先进材料设计研究院遭遇美国黑客入侵！

　　 1月17日更新，国家互联网应急中心最新发布了《关于美国网络攻击我国某先进材料设计研究院的调查报告》，以下是报告原文：

　　 2024年12月18日，国家互联网应急中心CNCERT发布通报，发现并处理了两起针对我国大型科技企业的网络攻击事件。本报告将详细介绍其中一起针对我国某先进材料设计研究院的网络攻击情况，以期为全球相关国家和单位有效识别和防范美国的网络攻击行为提供参考。

　　 一、网络攻击流程

　　 （一）利用漏洞进行攻击入侵

　　 2024年8月19日，攻击者利用该单位电子文件系统的漏洞入侵了该系统，并窃取了系统管理员的账号和密码信息。2024年8月21日，攻击者使用窃取到的管理员账号和密码登录了被攻击系统的管理后台。

　　 （二）2024年8月21日12时，攻击者成功侵入了该企业的软件升级管理服务器，并在其中植入了后门程序和专门用于接收被窃数据的定制化木马程序。这一事件不仅暴露了企业在网络安全防护方面的漏洞，同时也引发了公众对于信息安全保护的关注。此类事件的发生提醒我们，尽管现代科技为我们的生活带来了极大的便利，但随之而来的安全威胁也日益严峻。企业和个人都应加强自身的网络安全意识，采取更为有效的防护措施，以防止类似的安全事件再次发生。

　　 为逃避检测，这些恶意软件专门设计为驻留在内存中，避免在硬盘上留下痕迹，从而增加检测难度。木马程序被用来接收从目标计算机窃取的敏感文件，其访问路径为/xxx/xxxx?flag=syn_user_policy。而另一款后门程序则负责将收集到的敏感信息汇总，并最终传输至境外服务器，其访问路径是/xxx/xxxStats。 这种利用高级技术进行隐蔽操作的行为，显示了网络攻击者手法的日益复杂化。不法分子通过这种方式能够长时间潜伏于系统内部而不被发现，使得受害单位难以及时察觉并采取应对措施。面对此类威胁，加强网络安全防护体系，提高对未知威胁的识别能力显得尤为重要。同时，国际社会也应加强合作，共同打击跨国网络犯罪活动。

　　 （三）大范围个人主机电脑被植入木马

　　 2024年11月6日、8日以及16日，攻击者巧妙地利用了电子文档服务器在进行某次软件升级的机会，成功将特种木马程序植入到了该单位的276台主机中。这一系列事件再次凸显了网络安全防护体系中存在的潜在漏洞，特别是在软件更新过程中，安全监控和防御措施显得尤为重要。这不仅是一次对技术手段的挑战，更是对组织应急响应能力的重大考验。面对日益复杂的安全威胁，企业和机构需要不断强化自身的安全意识和技术水平，以确保信息系统的稳定运行和数据安全。

　　 木马程序的主要功能一是扫描被植入主机的敏感文件进行窃取。二是窃取受攻击者的登录账密等其他个人信息。木马程序即用即删。

　　 二、窃取大量商业秘密信息

　　 （一）全盘扫描受害单位主机

　　 攻击者多次用中国境内 IP 跳板登录到软件升级管理服务器，并利用该服务器入侵受害单位内网主机，并对该单位内网主机硬盘反复进行全盘扫描，发现潜在攻击目标，掌握该单位工作内容。

　　 （二）2024年11月6日至11月16日期间，攻击者利用三个不同的跳板IP三次入侵了某软件升级管理服务器，并向个人主机植入了带有特定关键词的木马程序。这些关键词与受害单位的工作内容高度相关。一旦发现含有这些关键词的文件，木马程序会自动窃取并将文件传输至境外。值得注意的是，三次窃密活动中所使用的关键词各不相同，表明攻击者在每次行动前都进行了详尽的准备，体现了其极强的针对性。据调查，这三次窃密行为共窃取了4.98GB的重要商业信息和知识产权文件。 这种有组织、有针对性的网络攻击行为，不仅暴露了相关企业或机构在网络安全防护上的不足，也凸显了当前网络环境下的安全威胁日益严峻。此类攻击不仅可能造成经济损失，还可能导致核心技术和商业秘密的泄露，对企业的长期发展构成重大风险。因此，加强网络安全防御体系，提高员工的安全意识，以及建立更为有效的应急响应机制，已经成为当务之急。同时，国际合作在打击跨国网络犯罪方面也显得尤为重要，只有通过多方共同努力，才能有效遏制此类攻击行为的发生。

　　 三、攻击行为特点

　　 （一）攻击时间

　　 分析发现，此次攻击时间主要集中在北京时间 22 时至次日 8 时，相对于美国东部时间为白天时间 10 时至 20 时，攻击时间主要分布在美国时间的星期一至星期五，在美国主要节假日未出现攻击行为。

　　 （二）攻击资源

　　 攻击者所利用的5个中转IP各不相同，分布于德国和罗马尼亚等国家，这体现了他们强烈的反追踪意识以及充足的攻击资源。

　　 （三）攻击武器一擅长运用开源或通用工具来隐匿行踪，以规避追踪。此次在涉案单位的服务器上检测到的后门程序即为一款开源的通用工具。为了防止被追查来源，攻击者广泛采用了多种开源或通用的攻击工具。

　　 二是重要后门和木马程序仅在内存中运行，不在硬盘中存储，大大提升了其攻击行为被我分析发现的难度。

　　 （四）攻击手法

　　 攻击者成功入侵了该单位的电子文件系统服务器，并对客户端分发程序进行了篡改。通过软件客户端的升级功能，攻击者向276台个人主机投放了木马程序，迅速且有针对性地针对关键用户展开攻击，大规模地进行信息收集与窃取活动。这种攻击手法充分展示了攻击者在技术上的高超能力和策划攻击时的精准度。 这一事件不仅暴露了当前网络安全防御体系中的漏洞，也提醒我们对于关键基础设施的保护需要进一步加强。特别是在软件更新和分发过程中，必须实施更加严格的验证机制，以防止恶意代码的渗透。此外，提升用户的网络安全意识同样重要，尤其是对那些可能成为重点攻击目标的关键用户。只有多方面共同发力，才能有效应对日益复杂的网络威胁。

　　 四、部分跳板 IP 列表

　　 除此之外，国家互联网应急中心发布了《美国网络攻击我国某智慧能源与数字信息高科技企业事件调查报告》。

　　 2024 年 12 月 18 日，国家互联网应急中心 CNCERT 发布公告，发现处置两起美对我大型科技企业机构网络攻击事件。本报告将公布对其中我国某智慧能源和数字信息大型高科技企业的网络攻击详情，为全球相关国家、单位有效发现和防范美网络攻击行为提供借鉴。

　　 一、网络攻击流程

　　 （一）利用邮件服务器漏洞进行入侵

　　 近日，有报道指出，某公司的邮件服务器采用了微软的Exchange邮件系统。攻击者利用了该系统的两个漏洞进行了两次攻击。第一次攻击中，攻击者利用了一个任意用户权限漏洞，从而对特定账户进行了针对性的攻击。随后，攻击者又利用了一个反序列化漏洞，最终成功实现了远程代码执行，对系统造成了严重的安全威胁。 这种情况凸显了网络安全防护的重要性。尽管微软Exchange是一个广泛使用的邮件系统，但它并非无懈可击。企业应该更加重视其系统安全，定期更新和修补软件漏洞，并加强员工的安全意识培训，以防止类似的攻击事件发生。此外，企业应考虑采用多层次的安全策略，包括但不限于防火墙、入侵检测系统以及行为分析工具，来增强整体防御能力。

　　 （二）在邮件服务器上部署高度隐蔽的内存木马以避免被发现，攻击者在邮件服务器中植入了两个攻击工具，仅在内存中运行，不进行硬盘存储。这些工具利用了虚拟化技术，虚拟的访问路径为/owa/auth/xxx/xx.aspx和/owa/auth/xxx/yy.aspx。攻击工具的主要功能包括敏感信息窃取、命令执行以及内网穿透等。内网穿透程序通过混淆技术来规避安全软件的检测，将攻击者的流量转发至其他目标设备，从而实现对内网其他设备的攻击目的。

　　 （三）对内网 30 余台重要设备发起攻击

　　 攻击者以邮件服务器为跳板，利用内网扫描和渗透手段，在内网中建立隐蔽的加密传输隧道，通过 SSH、SMB 等方式登录控制该公司的 30 余台重要设备并窃取数据。包括个人计算机、服务器和网络设备等；被控服务器包括，邮件服务器、办公系统服务器、代码管理服务器、测试服务器、开发管理服务器和文件管理服务器等。为实现持久控制，攻击者在相关服务器以及网络管理员计算机中植入了能够建立 websocket+SSH 隧道的攻击窃密武器，实现了对攻击者指令的隐蔽转发和数据窃取。为避免被发现，该攻击窃密程序伪装成微信相关程序 WeChatxxxxxxxx.exe。攻击者还在受害服务器中植入了 2 个利用 PIPE 管道进行进程间通信的模块化恶意程序，实现了通信管道的搭建。

　　 二、窃取大量商业秘密信息

　　 （一）窃取大量敏感邮件数据

　　 攻击者利用邮件服务器管理员账号进行了邮件导出操作，主要针对的是该公司的高层管理人员和重要部门人员。攻击者在执行导出命令时设定了特定的时间区间，对邮件数量较多的账号仅导出指定时间区间的邮件，从而减少了数据传输量，降低了被发现的风险。 这种行为不仅暴露了公司内部安全措施的漏洞，也提醒我们，即便是在高级管理层中，也需要更加严格地监控和管理访问权限。这不仅仅是技术层面的问题，更是管理和制度层面的缺失。公司应当加强对员工的安全意识培训，并定期审查和更新访问控制策略，确保敏感信息的安全。此外，加强邮件系统的审计功能，及时发现和阻止异常活动，也是防止此类事件发生的重要手段。

　　 （二）2023年5月2日，一名攻击者利用位于德国的代理服务器（95.179.XX.XX）作为跳板，成功入侵了一家公司的邮件服务器。随后，攻击者又以该邮件服务器为起点，进一步入侵了公司内部的三名网络管理员的计算机系统。这次攻击行动导致攻击者能够频繁获取该公司的核心网络设备账号及配置信息，包括“网络核心设备配置表”、“核心网络设备配置备份及巡检”、“网络拓扑”、“机房交换机（核心汇聚）”、“运营商IP地址统计”以及“关于采购互联网控制网关的请示”等重要文件。 此类事件不仅揭示了当前网络安全防护体系中的薄弱环节，还反映了公司内部安全管理机制存在的漏洞。一方面，攻击者能够轻易地通过入侵邮件服务器来获取访问权限，说明公司在电子邮件系统的安全防护上还有待加强。另一方面，网络管理员的计算机被攻破，这表明内部员工的网络安全意识和操作规范亟需提高。对于任何一家依赖于稳定网络运行的企业来说，确保网络基础设施的安全性是至关重要的。因此，企业必须采取更加严格的安全措施，定期对员工进行网络安全培训，同时加强对关键系统的监控与防护，以防止类似事件的再次发生。

　　 （三）2023年7月26日，一起针对某公司项目的攻击事件引起了广泛关注。攻击者通过位于芬兰的代理服务器（65.23.XX.XX）成功入侵了该公司的邮件服务器，并进一步利用此途径频繁访问其代码服务器中的后门，从而窃取了高达1.03GB的数据。为了掩盖其行为，攻击者将后门程序伪装成了开源项目“禅道”中的文件“tip4XXXXXXXX.php”。 这一系列精心策划的攻击行动不仅揭示了网络安全防护体系中的漏洞，同时也提醒企业必须持续加强其防御机制。尽管企业通常会采取多重安全措施来保护其关键信息资产，但此次事件表明攻击者能够利用复杂的手段绕过这些防线。因此，除了传统的防火墙和防病毒软件之外，企业还需要部署更为先进的威胁检测与响应工具，同时定期对员工进行安全意识培训，以提高整体的安全防御水平。 此外，对于这类攻击的响应速度至关重要。一旦发现异常活动，及时采取隔离措施并启动应急响应计划可以有效减少损失。企业应建立一套高效的信息安全管理体系，确保在面对类似威胁时能够迅速做出反应。

　　 （四）在现代网络攻防战中，攻击者通常会采取一系列措施来隐藏自己的行踪。每次攻击完成后，他们会清除计算机日志中的所有痕迹，并且删除那些用于临时存储窃取数据的文件。此外，他们还会仔细检查系统的审计日志、历史命令记录以及与SSH相关的配置信息，以评估系统是否已经被取证分析。通过这些手段，攻击者试图对抗网络安全检测，确保自己的行为不被发现。 这样的行为无疑显示了攻击者对于技术和策略的高度掌握。他们不仅精通于如何渗透进目标系统，还懂得如何不留痕迹地掩盖自己的行为。这给网络安全防御带来了极大的挑战。因此，加强系统的安全防护和提高对异常行为的检测能力变得尤为重要。同时，也需要不断完善取证技术和方法，以便更好地追踪和识别这些隐蔽的攻击活动。

　　 三、攻击行为特点

　　 （一）攻击时间

　　 分析发现，此次攻击活动主要在北京时间22时至次日8时进行，相对于美国东部时间为上午10时至下午16时。攻击时间集中在周一至周五的工作日，在美国的主要节假日没有观察到此类攻击行为。

　　 （二）攻击资源

　　 2023年5月至2023年10月期间，攻击者发起了30多次网络攻击，所使用的境外跳板IP基本没有重复，这表明攻击者具有极高的反溯源意识和丰富的攻击资源储备。这一系列攻击行动不仅显示了黑客技术的高超，还揭示了网络安全环境面临的严峻挑战。在当前全球化的网络空间中，这种有组织且专业的攻击行为对各国的网络安全构成了严重威胁。面对这种情况，加强国际合作和技术防御能力显得尤为重要。只有通过共同努力，才能有效提升整体的网络安全防护水平。

　　 （三）近期发现的一种攻击武器在多个系统中植入了两个模块化的恶意程序，这些程序位于“c:\\windows\\system32\\”目录下，并且使用了.NET框架进行开发。值得注意的是，这些恶意软件的编译时间信息已被删除，文件大小在数十KB之间，主要采用TLS加密技术。此外，在某些邮件服务器的内存中也发现了这种攻击武器，其主要功能包括敏感信息窃取、远程命令执行以及内部网络渗透等操作。 更为严重的是，在一些关键服务器和网络管理员的电脑上也检测到了此类攻击工具。这些恶意软件通过HTTPS协议进行通信，并能够创建WebSocket SSH隧道，从而实现与攻击者控制的特定域名之间的回连。这种高度隐蔽且功能强大的攻击手段无疑对网络安全构成了重大威胁，需要引起足够的重视。未来，企业和机构应加强对于此类攻击手段的防御措施，及时更新安全补丁，增强安全意识培训，确保网络环境的安全稳定。

　　 四、部分跳板 IP 列表