Nighthawk APT атакует Exchange: трояны в памяти и бэкдор

Nighthawk APT, связанная с государством США, использует сложную многоступенчатую схему атаки против серверов Exchange, делая ставку на in-memory trojan, малозаметный загрузчик и элементы устойчивого присутствия в инфраструктуре жертвы. По данным отчета, кампания отличается высокой степенью технической проработки и может сохраняться в сети почти год, извлекая данные почтовых ящиков и обходя традиционные средства защиты.

Атака без следов на диске

Ключевой элемент операции — вредоносный код, который внедряется после deserialization вредоносного key. Такой подход позволяет разместить троянец, работающий полностью в памяти, без привычной записи на диск. Это серьезно осложняет обнаружение, поскольку стандартные механизмы, включая antivirus software, часто ориентируются именно на файловые артефакты.

Отчет подчеркивает, что подобный memory trojan обеспечивает злоумышленнику удаленный доступ к данным почтового ящика и их длительное извлечение. Зафиксированные операции продолжались почти год. После выполнения образцы троянца удаляются, оставляя минимальные следы.

Что могут увидеть средства защиты

Хотя троянец в памяти практически не оставляет артефактов, решения для detection on disk способны выявить компоненты загрузчика. Речь идет о DLL-файлах с именами в формате App_Web_*.dll. Эти файлы связаны со службой IIS на базе ASP.NET на сервере Exchange и предварительно скомпилированы, что указывает на высокий уровень сложности атаки.

• компоненты загрузчика имеют вид App_Web_*.dll;
• они связаны с IIS и ASP.NET;
• предварительная компиляция указывает на продуманную архитектуру атаки;
• загрузчик, вероятно, обладает persistence, связанной с исходными vulnerabilities.

По оценке аналитиков, загрузчик может развертываться каждый раз при срабатывании определенного exploit, что делает схему воспроизводимой и устойчивой.

Как происходит запуск вредоносной нагрузки

Механика атаки выглядит системно. Злоумышленник отправляет запросы к определенным virtual directories URL, после чего троянец в памяти с именем App_Web_Container_1 начинает искать дополнительные malicious functions в своей программной структуре. Основная функция класса — AppWebInit — используется для выполнения команд и доставки payload.

Такая архитектура показывает, что операция выстроена не как разовый инцидент, а как последовательная цепочка действий, рассчитанная на длительное присутствие в среде Exchange.

Связка с подставным доменом и cloaking

Анализ также выявил взаимодействие между почтовой службой Exchange и персональным компьютером, который маскируется под законный domain, связанный с provider services. Для сокрытия реального IP-адреса атакующей инфраструктуры используется technology dynamic cloaking: в периоды простоя DNS-резолвинг перенаправляется на локальные адреса.

Этот прием осложняет атрибуцию и мешает построению полной картины инфраструктуры, поскольку внешне соединения могут выглядеть легитимными или нейтральными.

Устойчивый бэкдор и Chisel

Отдельное внимание в отчете уделено закреплению доступа. На персональном компьютере была установлена scheduled task, запускающая backdoor-троянец SynologyUpdate.exe каждые четыре часа. Такой подход демонстрирует методичность и стремление сохранить контроль над системой даже после возможных попыток очистки.

Этот backdoor основан на семействе троянов Chisel, что указывает на адаптацию open source tools под вредоносные задачи. Соединение с инфраструктурой command and control (C&C) устанавливается через порт 443, после чего трафик сопоставляется с внутренним портом 1090 для облегчения проникновения в intranet.

Вывод: высокая изощренность и долгосрочная угроза

Совокупность техник — in-memory execution, малозаметный loader, cloaking, scheduled task и использование Chisel-based backdoor — демонстрирует высокий уровень sophistication группы Nighthawk APT. Отчет ясно показывает: против таких противников организациям необходимы не только традиционные средства защиты, но и advanced detection strategies, а также готовность к оперативному реагированию.

Общая сложность атаки свидетельствует о высоком уровне изощренности программы Nighthawk APT.