AnayasaHaberler* NightEagle (APT-Q-95) adında yeni bir tehdit grubu, sıfır gün güvenlik açıklarını kullanarak Çin'deki Microsoft Exchange sunucularını hedef aldı.
Siber saldırılar, özellikle yarı iletkenler, kuantum teknolojisi, Yapay Zeka ve askeri araştırmalar gibi sektörlerde hükümet, savunma ve teknoloji kuruluşlarına odaklanmaktadır.
NightEagle, Microsoft Internet Information Server (IIS) içine yerleştirilmiş özel bir .NET yükleyici aracılığıyla sunulan, açık kaynaklı Chisel aracının değiştirilmiş bir versiyonunu kullanmaktadır.
Saldırganlar, hedeflenen sunuculardan yetkisiz erişim ve veri çıkarımı sağlamak için bir Borsa'nın sıfırıncı gün açığını kullanarak anahtar kimlik bilgilerini elde ediyor.
Güvenlik araştırmacıları, tehdit aktörünün Çin'de gece saatlerinde faaliyet gösterdiğini ve gözlemlenen saldırı zamanlarına dayanarak Kuzey Amerika'da bulunabileceğini öne sürüyor.
Araştırmacılar, Çin'deki Microsoft Exchange sunucularını aktif olarak hedef alan daha önce bilinmeyen bir siber casusluk grubunu, NightEagle'ı tanımladı. Bu tehdit aktörü, hükümet, savunma ve ileri teknoloji sektörlerindeki kuruluşlara sızmak için bir dizi sıfır gün açığını kullanıyor.
Reklam - QiAnXin'in RedDrip Ekibi'ne göre, NightEagle yarı iletkenler, kuantum teknolojisi, yapay zeka ve askeri AR-GE gibi alanlardaki şirketleri hedef almıştır. Grup 2023 yılından beri faaliyet göstermekte olup, farklı ağ altyapıları arasında hızla geçiş yapmakta ve yöntemlerini sık sık güncellemektedir.
Araştırma ekibi, bir müşteri sisteminde özelleştirilmiş bir Chisel penetrasyon aracının bulunmasının ardından soruşturmalarına başladı. Bu araç, her dört saatte bir otomatik olarak çalışacak şekilde ayarlanmıştı. Analistler, raporlarında saldırganların açık kaynaklı Chisel aracını değiştirdiğini, sabit kullanıcı adları, parolalar ayarladığını ve ele geçirilmiş ağ ile komut sunucuları arasında belirli bağlantı noktaları kurduğunu açıkladı.
İlk Malware, Exchange sunucusunun Internet Information Server (IIS)'ına gömülü bir .NET yükleyici aracılığıyla teslim edilmektedir. Saldırganlar, sunucunun machineKey kimlik bilgilerini almak için açıklanmayan bir açığı - sıfır gün zafiyetini - kullanmaktadır. Bu, onlara uyumlu bir sürümdeki herhangi bir Exchange sunucusuna ek malware deseralize etme ve yükleme imkanı tanır, uzaktan erişim kazanır ve posta kutusu verilerini okuma yeteneği sağlar.
Bir sözcü QiAnXin için, "Bir şahin hızı gibi görünüyor ve Çin'de geceleri çalışıyor," diyerek grubun çalışma saatlerine ve adlandırma mantığına atıfta bulundu. Aktivite desenlerine dayanan araştırmacılar, NightEagle'ın Kuzey Amerika merkezli olabileceğini düşünüyor çünkü en çok saldırılar Pekin saatiyle 21:00 ile 06:00 arasında gerçekleşiyor.
Bulgular, Malezya'nın Ulusal Siber Savunma ve Güvenlik Fuarı ve Konferansı CYDES 2025'te açıklandı. QiAnXin, araştırma hakkında Microsoft'a daha fazla işlem için bildirimde bulundu.
Önceki Makaleler:
BRICS, Rio Zirvesi'nde Çok Taraflı Garanti Fonu Başlatacak
Eurex Clearing, Marj için DLT Tabanlı Teminat Çözümünü Başlattı
Droitwichli adam, 206 bin sterlinlik hayır kurumu hırsızlığı nedeniyle 39 dolandırıcılık suçlamasıyla karşı karşıya
Bitcoin, Kripto Destekli Tasarılar ABD Kongresi'ne Ulaşırken Rekor Yükseklere Yaklaşıyor
Uykuda Olan Bitcoin Balinaları 14 Yıl Sonra 3 Milyar Dolar Hareket Ettirdi, Heyecan Yarattı
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
NightEagle APT, Sıfır Gün Exchange Açıkları ile Çin'i Hedefliyor
AnayasaHaberler* NightEagle (APT-Q-95) adında yeni bir tehdit grubu, sıfır gün güvenlik açıklarını kullanarak Çin'deki Microsoft Exchange sunucularını hedef aldı.
Araştırma ekibi, bir müşteri sisteminde özelleştirilmiş bir Chisel penetrasyon aracının bulunmasının ardından soruşturmalarına başladı. Bu araç, her dört saatte bir otomatik olarak çalışacak şekilde ayarlanmıştı. Analistler, raporlarında saldırganların açık kaynaklı Chisel aracını değiştirdiğini, sabit kullanıcı adları, parolalar ayarladığını ve ele geçirilmiş ağ ile komut sunucuları arasında belirli bağlantı noktaları kurduğunu açıkladı.
İlk Malware, Exchange sunucusunun Internet Information Server (IIS)'ına gömülü bir .NET yükleyici aracılığıyla teslim edilmektedir. Saldırganlar, sunucunun machineKey kimlik bilgilerini almak için açıklanmayan bir açığı - sıfır gün zafiyetini - kullanmaktadır. Bu, onlara uyumlu bir sürümdeki herhangi bir Exchange sunucusuna ek malware deseralize etme ve yükleme imkanı tanır, uzaktan erişim kazanır ve posta kutusu verilerini okuma yeteneği sağlar.
Bir sözcü QiAnXin için, "Bir şahin hızı gibi görünüyor ve Çin'de geceleri çalışıyor," diyerek grubun çalışma saatlerine ve adlandırma mantığına atıfta bulundu. Aktivite desenlerine dayanan araştırmacılar, NightEagle'ın Kuzey Amerika merkezli olabileceğini düşünüyor çünkü en çok saldırılar Pekin saatiyle 21:00 ile 06:00 arasında gerçekleşiyor.
Bulgular, Malezya'nın Ulusal Siber Savunma ve Güvenlik Fuarı ve Konferansı CYDES 2025'te açıklandı. QiAnXin, araştırma hakkında Microsoft'a daha fazla işlem için bildirimde bulundu.
Önceki Makaleler: