2024年12月18日，國家互聯網應急中心CNCERT發佈公告(https://www.cert.org.cn/publish/main/8/2024/20241218184234131217571/20241218184234131217571_.html)，發現處置兩起美對我大型科技企業機構網絡攻擊事件。本報告將公佈對其中我國某先進材料設計研究院的網絡攻擊詳情，爲全球相關國家、單位有效發現和防範美網絡攻擊行爲提供借鑑。

一、網絡攻擊流程

（一）利用漏洞進行攻擊入侵

2024年8月19日，攻擊者利用該單位電子文件系統注入漏洞入侵該系統，並竊取了該系統管理員賬號/密碼信息。2024年8月21日，攻擊者利用竊取的管理員賬號/密碼登錄被攻擊系統的管理後臺。

（二）軟件升級管理服務器被植入後門和木馬程序

2024年8月21日12時，攻擊者在該電子文件系統中部署了後門程序和接收被竊數據的定製化木馬程序。爲逃避檢測，這些惡意程序僅存在於內存中，不在硬盤上存儲。木馬程序用於接收從涉事單位被控個人計算機上竊取的敏感文件，訪問路徑爲/xxx/xxxx?flag="syn_user_policy"。後門程序用於將竊取的敏感文件聚合後傳輸到境外，訪問路徑是/xxx/xxxStats。

（三）大範圍個人主機電腦被植入木馬

2024年11月6日、2024年11月8日和2024年11月16日，攻擊者利用電子文檔服務器的某軟件升級功能將特種木馬程序植入到該單位276臺主機中。木馬程序的主要功能一是 掃描被植入主機的敏感文件進行竊取。二是 竊取受攻擊者的登錄賬密等其他個人信息。木馬程序即用即刪。

二、竊取大量商業祕密信息

（一）全盤掃描受害單位主機

攻擊者多次用中國境內IP跳板登錄到軟件升級管理服務器，並利用該服務器入侵受害單位內網主機，並對該單位內網主機硬盤反覆進行全盤掃描，發現潛在攻擊目標，掌握該單位工作內容。

（二）目的明確地針對性竊取

2024年11月6日至11月16日，攻擊者利用3個不同的跳板IP三次入侵該軟件升級管理服務器，向個人主機植入木馬，這些木馬已內置與受害單位工作內容高度相關的特定關鍵詞，搜索到包含特定關鍵詞的文件後即將相應文件竊取並傳輸至境外。這三次竊密活動使用的關鍵詞均不相同，顯示出攻擊者每次攻擊前均作了精心準備，具有很強的針對性。三次竊密行爲共竊取重要商業信息、知識產權文件共4.98GB。

三、攻擊行爲特點

（一）攻擊時間

分析發現，此次攻擊時間主要集中在北京時間22時至次日8時，相對於美國東部時間爲白天時間10時至20時，攻擊時間主要分佈在美國時間的星期一至星期五，在美國主要節假日未出現攻擊行爲。

（二）攻擊資源

攻擊者使用的5個跳板IP完全不重複，位於德國和羅馬尼亞等地，反映出其高度的反溯源意識和豐富的攻擊資源儲備。

（三）攻擊武器

一是 善於利用開源或通用工具僞裝躲避溯源，此次在涉事單位服務器中發現的後門程序爲開源通用後門工具。攻擊者爲了避免被溯源，大量使用開源或通用攻擊工具。

二是 重要後門和木馬程序僅在內存中運行，不在硬盤中存儲，大大提升了其攻擊行爲被我分析發現的難度。

（四）攻擊手法

攻擊者攻擊該單位電子文件系統服務器後，篡改了該系統的客戶端分發程序，通過軟件客戶端升級功能，向276臺個人主機投遞木馬程序，快速、精準攻擊重要用戶，大肆進行信息蒐集和竊取。以上攻擊手法充分顯示出該攻擊組織的強大攻擊能力。

四、部分跳板IP列表