Домашняя страницаНовости* Новая угроза группа, известная как NightEagle (APT-Q-95), нацелилась на серверы Microsoft Exchange в Китае, используя уязвимости нулевого дня.
Кибератаки сосредоточены на государственных, оборонных и технологических организациях, особенно в таких секторах, как полупроводники, квантовые технологии, Искусственный интеллект и военные исследования.
NightEagle использует модифицированную версию инструмента с открытым исходным кодом Chisel, поставляемую через пользовательский загрузчик .NET, встроенный в Microsoft Internet Information Server (IIS).
Нападатели используют нулевой день на бирже для получения ключевых учетных данных, что позволяет несанкционированный доступ и извлечение данных с целевых серверов.
Исследователи безопасности предполагают, что злоумышленник действует ночью в Китае и может быть базироваться в Северной Америке, исходя из наблюдаемых временных рамок атак.
Исследователи выявили ранее неизвестную группу кибершпионажа, NightEagle, которая активно нацелена на серверы Microsoft Exchange в Китае. Этот злоумышленник использует цепочку уязвимостей нулевого дня для проникновения в организации в государственных, оборонных и высоких технологиях.
Реклама - Согласно команде RedDrip компании QiAnXin, NightEagle нацелился на компании в таких областях, как полупроводники, квантовые технологии, искусственный интеллект и военные НИОКР. Группа работает с 2023 года, быстро перемещаясь между различными сетевыми инфраструктурами и часто обновляя свои методы.
Исследовательская группа начала свое расследование после того, как обнаружила кастомизированную версию инструмента Chisel дляpenetration на системе клиента. Этот инструмент был настроен на автоматический запуск каждые четыре часа. Аналитики объяснили в своем отчете, что злоумышленники изменили инструмент Chisel с открытым исходным кодом, установив фиксированные имена пользователей, пароли и подключив определенные порты между скомпрометированной сетью и их командным сервером.
Первоначальный вредоносный код доставляется через загрузчик .NET, который встроен в Internet Information Server (IIS) сервера Exchange. Злоумышленники используют нераскрытую уязвимость — уязвимость нулевого дня — чтобы получить учетные данные machineKey сервера. Это позволяет им десериализовать и загружать дополнительный вредоносный код на любой совместимый сервер Exchange, получая удаленный доступ и возможность читать данные почтовых ящиков.
Представитель QiAnXin заявил: “Похоже, что у них скорость орла и они действуют ночью в Китае,” ссылаясь на часы работы группы и обоснование её названия. Исходя из паттернов активности, следователи подозревают, что NightEagle может находиться в Северной Америке, поскольку большинство атак происходит между 21:00 и 6:00 по пекинскому времени.
Результаты были представлены на CYDES 2025, Национальной выставке и конференции по киберзащите и безопасности Малайзии. QiAnXin уведомила Microsoft о проведенном исследовании для дальнейших действий.
Предыдущие статьи:
БРИКС запустит многосторонний гарантийный фонд на саммите в Рио
Eurex Clearing запускает решение по обеспечению на основе DLT для маржи
Мужчина из Дройтвича столкнулся с 39 обвинениями в мошенничестве по делу о краже £206k из благотворительной организации
Биткойн близок к рекордному уровню, так как в Конгресс США поступают законопроекты в поддержку криптовалюты
Спящие киты Биткойна переместили 3 миллиарда долларов после 14 лет, вызвав ажиотаж
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
NightEagle APT нацеливается на Китай с помощью уязвимостей нулевого дня в Exchange
Домашняя страницаНовости* Новая угроза группа, известная как NightEagle (APT-Q-95), нацелилась на серверы Microsoft Exchange в Китае, используя уязвимости нулевого дня.
Исследовательская группа начала свое расследование после того, как обнаружила кастомизированную версию инструмента Chisel дляpenetration на системе клиента. Этот инструмент был настроен на автоматический запуск каждые четыре часа. Аналитики объяснили в своем отчете, что злоумышленники изменили инструмент Chisel с открытым исходным кодом, установив фиксированные имена пользователей, пароли и подключив определенные порты между скомпрометированной сетью и их командным сервером.
Первоначальный вредоносный код доставляется через загрузчик .NET, который встроен в Internet Information Server (IIS) сервера Exchange. Злоумышленники используют нераскрытую уязвимость — уязвимость нулевого дня — чтобы получить учетные данные machineKey сервера. Это позволяет им десериализовать и загружать дополнительный вредоносный код на любой совместимый сервер Exchange, получая удаленный доступ и возможность читать данные почтовых ящиков.
Представитель QiAnXin заявил: “Похоже, что у них скорость орла и они действуют ночью в Китае,” ссылаясь на часы работы группы и обоснование её названия. Исходя из паттернов активности, следователи подозревают, что NightEagle может находиться в Северной Америке, поскольку большинство атак происходит между 21:00 и 6:00 по пекинскому времени.
Результаты были представлены на CYDES 2025, Национальной выставке и конференции по киберзащите и безопасности Малайзии. QiAnXin уведомила Microsoft о проведенном исследовании для дальнейших действий.
Предыдущие статьи: