Анализ угрозы NightEagle: новые методы атак на Microsoft Exchange

Анализ угрозы NightEagle: новые методы атак на Microsoft Exchange

Группа APT NightEagle: новый уровень кибершпионажа с использованием неизвестных уязвимостей Microsoft Exchange

С 2023 года группа кибершпионов NightEagle (APT-Q-95) находится под пристальным наблюдением экспертов по кибербезопасности, в частности исследователя Цянь Паньгу. Эта организация выделяется использованием ранее неизвестной уязвимости в Microsoft Exchange и передовыми тактическими приемами, которые позволяют ей оставаться незаметной и эффективной в ходе атак.

Цели и направления атак NightEagle

Основное внимание группы сосредоточено на стратегически важных секторах экономики Китая:

  • высокотехнологичные отрасли промышленности,
  • военный сектор,
  • сферы, связанные с искусственным интеллектом и квантовыми технологиями.

Главной целью атак является кража конфиденциальных разведданных, что подчеркивает высокую ценность добываемой информации и уровень угрозы для национальной безопасности.

Методы и технические особенности атак

Группа NightEagle использует ряд сложных приемов, основанных на глубоком понимании инфраструктуры жертв и эксплуатации уязвимостей:

  • Использование пользовательского трояна, производного от семейства вредоносного ПО Chisel. Этот троянец был обнаружен на ПК в одной из организаций-клиентов.
  • Троянец взаимодействовал с доменом, имитирующим законного поставщика услуг, посредством подпольных DNS-запросов, что позволяло скрывать IP-адрес своего сервера.
  • Вредоносная программа запускала запланированные задачи каждые 4 часа, демонстрируя стремление к конспиративности и постоянству присутствия.
  • Вредоносная нагрузка была встроена в ASP.NET DLL-файл, связанный с IIS службой сервера Exchange.
  • Использовалась технология memory horse, при которой вредоносное ПО существует исключительно в оперативной памяти, что эффективно обходило традиционные антивирусные средства.

Использование неизвестной уязвимости «0 дней» и её последствия

Одним из ключевых элементов успешных атак стала ранее неизвестная уязвимость «0 дней», которая давала злоумышленникам:

  • доступ к конфиденциальным ключам сервера Microsoft Exchange;
  • возможность выполнять десериализацию и внедрять дополнительные вредоносные модули;
  • организовывать ретрансляцию украденных данных через совместимые системы Exchange.

Это создавало централизованную и масштабируемую систему компрометации, что значительно усложняло обнаружение и реагирование на инциденты.

Географическая и временная специфика операций

Наблюдения показали, что атаки NightEagle проводились преимущественно в ночное время по пекинскому времени — между 21:00 и 06:00. Это указывает на ориентированность на североамериканский регион, что даёт группе преимущество в скрытности и повышает шансы избегать немедленного обнаружения.

Тактическая гибкость и адаптация к геополитике

Группа широко использует быстро сменяющиеся доменные имена, которые распределены под разные задачи и цели. Такой подход отражает динамичность и способность оперативно реагировать на изменения геополитической обстановки и технологических трендов.

Особое внимание уделяется региональным и контекстуальным факторам, включая:

  • адаптацию идентификаторов в вредоносных URL,
  • учет последних достижений китайской индустрии искусственного интеллекта.

Эти детали свидетельствуют о высоком уровне планирования и системном подходе к проведению атак.

Выводы

Группа NightEagle демонстрирует эффективное сочетание технической изощренности, стратегического планирования и финансовой поддержки, что делает её одной из наиболее опасных APT-групп современности. В условиях растущего значения высоких технологий и интеллектуальных систем в национальной безопасности Китая, противодействие таким угрозам требует комплексного подхода, включающего постоянный мониторинг, своевременное обновление систем безопасности и международное сотрудничество.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: