APT-группа NightEagle эксплуатирует уязвимость Microsoft Exchange

Отчет о деятельности APT-группы NightEagle (APT-Q-95): новые угрозы для высокотехнологичных секторов
Эксперты Qi’an Pangu провели глубокий анализ сложной APT-группы NightEagle (APT-Q-95), выявив её использование неизвестной уязвимости в Microsoft Exchange. Эта киберугроза направлена на кражу конфиденциальных данных в сферах полупроводников, квантовых технологий, искусственного интеллекта и военной промышленности Китая. Рассмотрим ключевые особенности и тактики группы, раскрытые в ходе расследования.
Целевые секторы и тактика атак
NightEagle ориентирована на высокотехнологичные отрасли, что свидетельствует о стратегическом характере операций. Активность группы сосредоточена на следующих направлениях:
- Полупроводники
- Квантовые технологии
- Искусственный интеллект
- Военная промышленность Китая
Ключевой особенностью NightEagle является быстрая эвакуация после успешного сбора информации и тщательное удаление следов присутствия. Группа действует преимущественно в ночное время — с 21:00 до 06:00 по пекинскому времени — что обеспечивает дополнительную скрытность операций.
Используемое вредоносное ПО и методы внедрения
Группа демонстрирует высокий технический уровень, внедряя специализированное вредоносное ПО, среди которого выделяется троян семейства Chisel, написанный на Go. Особенности его работы включают:
- Активация через запланированные задачи с определёнными интервалами
- Установка скрытого Socks-соединения с C&C серверами для управления
- Работа преимущественно в оперативной памяти, что затрудняет обнаружение традиционными антивирусами
Важным элементом внедрения вредоносного ПО стал загрузчик — файл App_Web_cn*.dll, представляющий собой ASP.NET предварительно скомпилированную библиотеку DLL. Он был обнаружен на сервере Exchange и использовался для запуска троянца посредством манипуляций запросами к виртуальным URL-адресам, позволяя серверу исполнять вредоносную нагрузку в memory.
Уязвимость и методы компрометации
Расследование пришло к выводу, что злоумышленники, вероятно, использовали уязвимость zero-day для получения машинного ключа сервера Exchange. Это дало им возможность:
- Несанкционированно получить доступ к серверу
- Считать конфиденциальные данные почтовых ящиков жертв
Особенности инфраструктуры и динамика атак
NightEagle использует множество сетевых ресурсов — VPS-серверы и доменные имена — при этом чаще всего для каждой атаки выбирается новое доменное имя. IP-адреса при этом регулярно меняются, что обеспечивает оперативную скрытность. Анализ выявил следующие особенности:
- Регистрация доменов через сервис Tucows
- Методы разрешения DNS, маскирующие реальные IP-адреса
- Гибкость и адаптивность стратегии, позволяющая корректировать направления атак в зависимости от текущей геополитической обстановки
Такой подход позволяет группе сохранять обширную и эффективную оперативную базу для кибершпионажа, демонстрируя высокий уровень организационной дисциплины и технической подготовки.
Значимость расследования и рекомендации
Информация, полученная в результате анализа инструментов, методов и процедур NightEagle, оказывает критическое влияние на развитие мер киберзащиты. Учитывая меняющиеся стратегии APT-группы, специалисты в области кибербезопасности должны учитывать следующие моменты:
- Внедрение постоянного мониторинга ночной активности на инфраструктуре
- Использование передовых решений для обнаружения вредоносных процессов в memory
- Жесткая проверка и управление выпуском обновлений для Microsoft Exchange
- Анализ и фильтрация сетевого трафика с учётом подозрительных доменных имен и динамически меняющихся IP-адресов
Поддержка проактивных мер и обмен актуальной информацией среди профильных организаций позволят снизить риски успешных атак NightEagle и подобных APT-групп.
Данный отчет служит напоминанием о том, насколько важно оставаться внимательными и готовыми к новым вызовам в постоянно меняющемся ландшафте киберугроз.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



