APT-группа NightEagle эксплуатирует уязвимость Microsoft Exchange

APT-группа NightEagle эксплуатирует уязвимость Microsoft Exchange

Отчет о деятельности APT-группы NightEagle (APT-Q-95): новые угрозы для высокотехнологичных секторов

Эксперты Qi’an Pangu провели глубокий анализ сложной APT-группы NightEagle (APT-Q-95), выявив её использование неизвестной уязвимости в Microsoft Exchange. Эта киберугроза направлена на кражу конфиденциальных данных в сферах полупроводников, квантовых технологий, искусственного интеллекта и военной промышленности Китая. Рассмотрим ключевые особенности и тактики группы, раскрытые в ходе расследования.

Целевые секторы и тактика атак

NightEagle ориентирована на высокотехнологичные отрасли, что свидетельствует о стратегическом характере операций. Активность группы сосредоточена на следующих направлениях:

  • Полупроводники
  • Квантовые технологии
  • Искусственный интеллект
  • Военная промышленность Китая

Ключевой особенностью NightEagle является быстрая эвакуация после успешного сбора информации и тщательное удаление следов присутствия. Группа действует преимущественно в ночное время — с 21:00 до 06:00 по пекинскому времени — что обеспечивает дополнительную скрытность операций.

Используемое вредоносное ПО и методы внедрения

Группа демонстрирует высокий технический уровень, внедряя специализированное вредоносное ПО, среди которого выделяется троян семейства Chisel, написанный на Go. Особенности его работы включают:

  • Активация через запланированные задачи с определёнными интервалами
  • Установка скрытого Socks-соединения с C&C серверами для управления
  • Работа преимущественно в оперативной памяти, что затрудняет обнаружение традиционными антивирусами

Важным элементом внедрения вредоносного ПО стал загрузчик — файл App_Web_cn*.dll, представляющий собой ASP.NET предварительно скомпилированную библиотеку DLL. Он был обнаружен на сервере Exchange и использовался для запуска троянца посредством манипуляций запросами к виртуальным URL-адресам, позволяя серверу исполнять вредоносную нагрузку в memory.

Уязвимость и методы компрометации

Расследование пришло к выводу, что злоумышленники, вероятно, использовали уязвимость zero-day для получения машинного ключа сервера Exchange. Это дало им возможность:

  • Несанкционированно получить доступ к серверу
  • Считать конфиденциальные данные почтовых ящиков жертв

Особенности инфраструктуры и динамика атак

NightEagle использует множество сетевых ресурсов — VPS-серверы и доменные имена — при этом чаще всего для каждой атаки выбирается новое доменное имя. IP-адреса при этом регулярно меняются, что обеспечивает оперативную скрытность. Анализ выявил следующие особенности:

  • Регистрация доменов через сервис Tucows
  • Методы разрешения DNS, маскирующие реальные IP-адреса
  • Гибкость и адаптивность стратегии, позволяющая корректировать направления атак в зависимости от текущей геополитической обстановки

Такой подход позволяет группе сохранять обширную и эффективную оперативную базу для кибершпионажа, демонстрируя высокий уровень организационной дисциплины и технической подготовки.

Значимость расследования и рекомендации

Информация, полученная в результате анализа инструментов, методов и процедур NightEagle, оказывает критическое влияние на развитие мер киберзащиты. Учитывая меняющиеся стратегии APT-группы, специалисты в области кибербезопасности должны учитывать следующие моменты:

  • Внедрение постоянного мониторинга ночной активности на инфраструктуре
  • Использование передовых решений для обнаружения вредоносных процессов в memory
  • Жесткая проверка и управление выпуском обновлений для Microsoft Exchange
  • Анализ и фильтрация сетевого трафика с учётом подозрительных доменных имен и динамически меняющихся IP-адресов

Поддержка проактивных мер и обмен актуальной информацией среди профильных организаций позволят снизить риски успешных атак NightEagle и подобных APT-групп.

Данный отчет служит напоминанием о том, насколько важно оставаться внимательными и готовыми к новым вызовам в постоянно меняющемся ландшафте киберугроз.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: