NightEagle APTはゼロデイExchangeの脆弱性を通じて中国を標的にしています

ホームニュース* 新たな脅威グループとして知られるNightEagle (APT-Q-95)が、中国のMicrosoft Exchangeサーバーをゼロデイ脆弱性を利用して標的にしました。

• サイバー攻撃は、政府、防衛、技術機関に焦点を当てており、特に半導体、量子技術、人工知能、軍事研究などの分野においてです。
• NightEagle は、オープンソースの Chisel ツールの変更版を使用しており、Microsoft Internet Information Server (IIS) に埋め込まれたカスタム .NET ローダーを通じて提供されます。
• 攻撃者は、交換のゼロデイを悪用して重要な認証情報を取得し、標的サーバーへの不正アクセスとデータ抽出を可能にします。
• セキュリティ研究者は、脅威アクターが中国で夜間に活動し、観察された攻撃時間に基づいて北アメリカに拠点を置いている可能性があると示唆しています。 研究者たちは、NightEagleという以前は知られていなかったサイバー諜報グループを特定し、中国のMicrosoft Exchangeサーバーを積極的に標的にしています。この脅威アクターは、政府、防衛、高度な技術部門の組織に侵入するために、ゼロデイエクスプロイトのチェーンを使用しています。

• 広告 - QiAnXinのRedDripチームによると、NightEagleは半導体、量子技術、人工知能、軍事研究開発などの分野の企業を標的にしています。このグループは2023年から活動しており、異なるネットワークインフラ間を素早く移動し、手法を頻繁に更新しています。

研究チームは、顧客システムでカスタムバージョンのChiselペネトレーションツールを発見した後、調査を開始しました。このツールは4時間ごとに自動的に実行されるように設定されていました。アナリストは報告書の中で、攻撃者がオープンソースのChiselツールを変更し、固定されたユーザー名、パスワードを設定し、侵害されたネットワークとコマンドサーバー間の特定のポートに接続していると説明しました。

初期のマルウェアは、Exchange サーバーの Internet Information Server (IIS) に埋め込まれた .NET ローダーを通じて配信されます。攻撃者は、開示されていない欠陥、すなわちゼロデイ脆弱性を利用して、サーバーの machineKey 資格情報を取得します。これにより、互換性のあるバージョンの任意の Exchange サーバーに追加のマルウェアをデシリアライズしてロードでき、リモートアクセスを得てメールボックスデータを読み取ることができます。

QiAnXinのスポークスパーソンは、*「それは鷲のような速さを持ち、中国では夜間に活動しているようです。」*と述べ、グループの運営時間と命名の理由を指摘しました。活動パターンに基づいて、調査官はNightEagleが北アメリカに拠点を置いている可能性があると疑っています。なぜなら、ほとんどの攻撃は北京時間の午後9時から午前6時の間に発生するからです。

調査結果は、マレーシアの国家サイバー防衛とセキュリティ展示会および会議であるCYDES 2025で明らかにされました。QiAnXinは、さらなる対応のためにMicrosoftに通知しました。

####前の記事:

• BRICSがリオサミットで多国間保証ファンドを立ち上げる
• Eurex Clearingがマージン用のDLTベースの担保ソリューションを開始
• ドロイトウィッチの男性が206,000ポンドの慈善団体盗難に関する39の詐欺罪に直面
• ビットコインが過去最高値に近づく中、親暗号通貨法案が米国議会に上程される
• 14年ぶりに$3Bを移動させた休眠中のビットコインクジラが話題を呼ぶ

-広告-