Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Анализ угрозы NightEagle: новые методы атак на Microsoft Exchange

2
3 мин
С 2023 года группа кибершпионов NightEagle (APT-Q-95) находится под пристальным наблюдением экспертов по кибербезопасности, в частности исследователя Цянь Паньгу. Эта организация выделяется использованием ранее неизвестной уязвимости в Microsoft Exchange и передовыми тактическими приемами, которые позволяют ей оставаться незаметной и эффективной в ходе атак. Основное внимание группы сосредоточено на стратегически важных секторах экономики Китая: Главной целью атак является кража конфиденциальных разведданных, что подчеркивает высокую ценность добываемой информации и уровень угрозы для национальной безопасности. Группа NightEagle использует ряд сложных приемов, основанных на глубоком понимании инфраструктуры жертв и эксплуатации уязвимостей: Одним из ключевых элементов успешных атак стала ранее неизвестная уязвимость «0 дней», которая давала злоумышленникам: Это создавало централизованную и масштабируемую систему компрометации, что значительно усложняло обнаружение и реагирование на инц
Оглавление

Группа APT NightEagle: новый уровень кибершпионажа с использованием неизвестных уязвимостей Microsoft Exchange

С 2023 года группа кибершпионов NightEagle (APT-Q-95) находится под пристальным наблюдением экспертов по кибербезопасности, в частности исследователя Цянь Паньгу. Эта организация выделяется использованием ранее неизвестной уязвимости в Microsoft Exchange и передовыми тактическими приемами, которые позволяют ей оставаться незаметной и эффективной в ходе атак.

Цели и направления атак NightEagle

Основное внимание группы сосредоточено на стратегически важных секторах экономики Китая:

  • высокотехнологичные отрасли промышленности,
  • военный сектор,
  • сферы, связанные с искусственным интеллектом и квантовыми технологиями.

Главной целью атак является кража конфиденциальных разведданных, что подчеркивает высокую ценность добываемой информации и уровень угрозы для национальной безопасности.

Методы и технические особенности атак

Группа NightEagle использует ряд сложных приемов, основанных на глубоком понимании инфраструктуры жертв и эксплуатации уязвимостей:

  • Использование пользовательского трояна, производного от семейства вредоносного ПО Chisel. Этот троянец был обнаружен на ПК в одной из организаций-клиентов.
  • Троянец взаимодействовал с доменом, имитирующим законного поставщика услуг, посредством подпольных DNS-запросов, что позволяло скрывать IP-адрес своего сервера.
  • Вредоносная программа запускала запланированные задачи каждые 4 часа, демонстрируя стремление к конспиративности и постоянству присутствия.
  • Вредоносная нагрузка была встроена в ASP.NET DLL-файл, связанный с IIS службой сервера Exchange.
  • Использовалась технология memory horse, при которой вредоносное ПО существует исключительно в оперативной памяти, что эффективно обходило традиционные антивирусные средства.

Использование неизвестной уязвимости «0 дней» и её последствия

Одним из ключевых элементов успешных атак стала ранее неизвестная уязвимость «0 дней», которая давала злоумышленникам:

  • доступ к конфиденциальным ключам сервера Microsoft Exchange;
  • возможность выполнять десериализацию и внедрять дополнительные вредоносные модули;
  • организовывать ретрансляцию украденных данных через совместимые системы Exchange.

Это создавало централизованную и масштабируемую систему компрометации, что значительно усложняло обнаружение и реагирование на инциденты.

Географическая и временная специфика операций

Наблюдения показали, что атаки NightEagle проводились преимущественно в ночное время по пекинскому времени — между 21:00 и 06:00. Это указывает на ориентированность на североамериканский регион, что даёт группе преимущество в скрытности и повышает шансы избегать немедленного обнаружения.

Тактическая гибкость и адаптация к геополитике

Группа широко использует быстро сменяющиеся доменные имена, которые распределены под разные задачи и цели. Такой подход отражает динамичность и способность оперативно реагировать на изменения геополитической обстановки и технологических трендов.

Особое внимание уделяется региональным и контекстуальным факторам, включая:

  • адаптацию идентификаторов в вредоносных URL,
  • учет последних достижений китайской индустрии искусственного интеллекта.

Эти детали свидетельствуют о высоком уровне планирования и системном подходе к проведению атак.

Выводы

Группа NightEagle демонстрирует эффективное сочетание технической изощренности, стратегического планирования и финансовой поддержки, что делает её одной из наиболее опасных APT-групп современности. В условиях растущего значения высоких технологий и интеллектуальных систем в национальной безопасности Китая, противодействие таким угрозам требует комплексного подхода, включающего постоянный мониторинг, своевременное обновление систем безопасности и международное сотрудничество.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Анализ угрозы NightEagle: новые методы атак на Microsoft Exchange".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.

Гаджеты и электроника
5,73 млн интересуются