国家互联网应急中心披露，我国两家高科技企业和研究单位遭受疑似美国情报机构的网络攻击。攻击者利用微软Exchange漏洞和境内电子文档管理系统漏洞，入侵服务器并植入后门和木马程序，窃取大量商业秘密和知识产权。攻击手段包括使用境外跳板、内存运行攻击武器、内网穿透、清除日志等，攻击时间主要集中在美国工作日的白天，显示出精心策划和高度针对性。

🔒 2023年5月起，某智慧能源和数字信息高科技企业遭网络攻击，攻击者利用微软Exchange漏洞入侵邮件服务器，植入后门程序，持续窃取邮件数据，并使用虚拟路径和内存运行攻击武器以逃避检测。

🛡️ 攻击者以邮件服务器为跳板，控制该公司及其下属企业30余台设备，窃取大量商业秘密信息，并清除攻击痕迹，对抗网络安全检测，显示出高度的隐蔽性和对抗性。

📚 2024年8月起，某先进材料设计研究单位遭网络攻击，攻击者利用境内电子文档安全管理系统漏洞，向270余台主机投递控制木马，窃取大量商业秘密信息和知识产权，并针对特定关键词进行文件窃取。

⏱️ 攻击时间主要集中在北京时间22时至次日8时，即美国东部时间白天工作时间，并且在美国主要节假日未出现攻击行为，表明攻击者具有明显的作息规律和精心计划。

快科技1月17日消息，今日，据国家互联网应急中心消息，国家互联网应急中心发现处置两起美对我大型科技企业机构进行网络攻击窃取商业秘密事件。

2023年5月起，我国某智慧能源和数字信息大型高科技企业遭疑似美国情报机构网络攻击。

经分析，攻击者使用多个境外跳板，利用微软Exchange漏洞，入侵控制该公司邮件服务器并植入后门程序，持续窃取邮件数据。

为避免被发现，攻击者在邮件服务器中植入了2个攻击武器，仅在内存中运行，不在硬盘存储。

其利用了虚拟化技术，虚拟的访问路径为/owa/auth/xxx/xx.aspx和/owa/auth/xxx/yy.aspx，攻击武器主要功能包括敏感信息窃取、命令执行以及内网穿透等。

内网穿透程序通过混淆来逃避安全软件检测，将攻击者流量转发给其他目标设备，达到攻击内网其他设备的目的。

同时，攻击者又以该邮件服务器为跳板，攻击控制该公司及其下属企业30余台设备，窃取该公司大量商业秘密信息。

攻击者每次攻击后，都会清除计算机日志中攻击痕迹，并删除攻击窃密过程中产生的临时打包文件。

攻击者还会查看系统审计日志、历史命令记录、SSH相关配置等，意图分析机器被取证情况，对抗网络安全检测。

部分跳板IP列表

2024年8月起，我国某先进材料设计研究单位遭疑似美国情报机构网络攻击。

经分析，攻击者利用我境内某电子文档安全管理系统漏洞，入侵该公司部署的软件升级管理服务器，通过软件升级服务向该公司的270余台主机投递控制木马，窃取该公司大量商业秘密信息和知识产权。

2024年11月6日至11月16日，攻击者利用3个不同的跳板IP三次入侵该软件升级管理服务器，向个人主机植入木马，这些木马已内置与受害单位工作内容高度相关的特定关键词，搜索到包含特定关键词的文件后即将相应文件窃取并传输至境外。

这三次窃密活动使用的关键词均不相同，显示出攻击者每次攻击前均作了精心准备，具有很强的针对性。三次窃密行为共窃取重要商业信息、知识产权文件共4.98GB。

分析发现，此次攻击时间主要集中在北京时间22时至次日8时，相对于美国东部时间为白天时间10时至20时，攻击时间主要分布在美国时间的星期一至星期五，在美国主要节假日未出现攻击行为。

部分跳板IP列表