ГоловнаНовини* Нова група загроз, відома як NightEagle (APT-Q-95), націлилася на сервери Microsoft Exchange у Китаї, використовуючи уразливості нульового дня.
Кібератаки зосереджені на урядових, оборонних та технологічних організаціях, особливо в таких секторах, як напівпровідники, квантова технологія, штучний інтелект та військові дослідження.
NightEagle використовує модифіковану версію інструменту з відкритим кодом Chisel, доставлену через спеціальний завантажувач .NET, вбудований у Microsoft Internet Information Server (IIS).
Атакуючи, зловмисники використовують нульовий день біржі для отримання ключових облікових даних, що дозволяє несанкціонований доступ та витяг даних з цільових серверів.
Дослідники з безпеки припускають, що зловмисник діє вночі в Китаї і може бути базований у Північній Америці, виходячи з спостережуваних часів атак.
Дослідники виявили раніше невідому групу кібер-шпигунства, NightEagle, яка активно націлюється на сервери Microsoft Exchange в Китаї. Цей загрозливий актор використовує ланцюг нульових днів експлойтів для проникнення в організації в урядовому, оборонному та високих технологіях.
Реклама - Згідно з RedDrip Team QiAnXin, NightEagle націлився на компанії в таких галузях, як напівпровідники, квантові технології, штучний інтелект та військові науково-дослідні роботи. Група діє з 2023 року, швидко переміщуючись між різними мережевими інфраструктурами та часто оновлюючи свої методи.
Дослідницька команда розпочала своє розслідування після виявлення користувацької версії інструменту проникнення Chisel на системі клієнта. Цей інструмент було налаштовано на автоматичний запуск кожні чотири години. Аналітики пояснили у своєму звіті, що зловмисники змінили відкритий інструмент Chisel, встановивши фіксовані імена користувачів, паролі та підключаючи специфічні порти між скомпрометованою мережею та їхнім командним сервером.
Початкова шкідлива програма доставляється через .NET завантажувач, який вбудований у Internet Information Server (IIS) поштового сервера. Зловмисники використовують невідомий недолік — уразливість нульового дня — щоб отримати облікові дані machineKey сервера. Це дозволяє їм десеріалізувати та завантажувати додаткове шкідливе ПЗ на будь-який поштовий сервер сумісної версії, отримуючи віддалений доступ і можливість читати дані поштових скриньок.
Речник QiAnXin заявив: "Схоже, що він має швидкість орла та працює вночі в Китаї," посилаючись на години роботи групи та назву. На основі моделей активності, слідчі підозрюють, що NightEagle може бути базою в Північній Америці, оскільки більшість атак відбувається між 21:00 та 6:00 за пекинським часом.
Результати були оприлюднені на CYDES 2025, Національній виставці та конференції з кібероборони та безпеки Малайзії. QiAnXin повідомила Microsoft про дослідження для подальших дій.
Попередні статті:
БРІКС запустить багатосторонній гарантійний фонд на саміті в Ріо
Eurex Clearing запустила рішення на основі DLT для забезпечення маржі
Чоловік з Дроітвіча стикається з 39 звинуваченнями у шахрайстві через крадіжку 206 тис. фунтів стерлінгів у благодійності
Біткойн наближається до рекордного максимуму, оскільки про-крипто законопроекти потрапили до Конгресу США
Сплячі біткойн-кити перемістили $3B після 14 років, викликавши обговорення
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
НічнийОрел APT націлений на Китай через експлуатацію нульових днів в Exchange
ГоловнаНовини* Нова група загроз, відома як NightEagle (APT-Q-95), націлилася на сервери Microsoft Exchange у Китаї, використовуючи уразливості нульового дня.
Дослідницька команда розпочала своє розслідування після виявлення користувацької версії інструменту проникнення Chisel на системі клієнта. Цей інструмент було налаштовано на автоматичний запуск кожні чотири години. Аналітики пояснили у своєму звіті, що зловмисники змінили відкритий інструмент Chisel, встановивши фіксовані імена користувачів, паролі та підключаючи специфічні порти між скомпрометованою мережею та їхнім командним сервером.
Початкова шкідлива програма доставляється через .NET завантажувач, який вбудований у Internet Information Server (IIS) поштового сервера. Зловмисники використовують невідомий недолік — уразливість нульового дня — щоб отримати облікові дані machineKey сервера. Це дозволяє їм десеріалізувати та завантажувати додаткове шкідливе ПЗ на будь-який поштовий сервер сумісної версії, отримуючи віддалений доступ і можливість читати дані поштових скриньок.
Речник QiAnXin заявив: "Схоже, що він має швидкість орла та працює вночі в Китаї," посилаючись на години роботи групи та назву. На основі моделей активності, слідчі підозрюють, що NightEagle може бути базою в Північній Америці, оскільки більшість атак відбувається між 21:00 та 6:00 за пекинським часом.
Результати були оприлюднені на CYDES 2025, Національній виставці та конференції з кібероборони та безпеки Малайзії. QiAnXin повідомила Microsoft про дослідження для подальших дій.
Попередні статті: