Китай атакован. Американский 0day в Exchange обнулил защиту китайских технологий
NewsMakerПроверьте логи до рассвета.
С 2023 года команда Qian Pangu внимательно отслеживает деятельность одной из наиболее скрытных кибергруппировок. Группа, обладающая неизвестной цепочкой эксплуатации уязвимостей Exchange, выделяется внушительным финансовым ресурсом, позволяющим закупать огромное количество сетевых активов — серверов VPS и доменных имён. Каждому новому объекту атаки соответствует отдельный домен, а IP-адреса для его разрешения меняются с высокой скоростью. За способность к молниеносной смене инфраструктуры и активность преимущественно в ночное время её прозвали NightEagle, присвоив внутренний номер APT -Q-95.
На протяжении длительного времени NightEagle атакует ведущие компании и учреждения Китая, связанные с высокими технологиями, производством чипов и полупроводников, квантовыми разработками, искусственным интеллектом, крупными языковыми моделями, а также оборонной промышленностью. Главная цель — кража информации. После похищения данных злоумышленники незамедлительно покидают атакованный сегмент сети, тщательно заметая следы.
Первый тревожный сигнал о деятельности NightEagle поступил, когда специалисты зафиксировали аномальный DNS-запрос к домену synologyupdates[.]com, который маскировался под сервис популярного производителя NAS-устройств Synology. При проверке выяснилось, что домен не используется официально. DNS-серверы направляли его к IP-адресам внутри локальной сети вроде 127.0.0.1 или 192.168.1.1, скрывая реальный сервер злоумышленников.
Позже были выявилены массовые запросы к домену из внутренней сети клиента, повторяющиеся каждые 4 часа. На одном из хостов внутри сети обнаружен процесс SynologyUpdate.exe. Выяснилось, что это модифицированное вредоносное ПО семейства Chisel , скомпилированное на Go и предназначенное для проникновения внутрь сети. Вредонос запускался по расписанию через системные задачи.
Вредонос устанавливает socks-соединение с сервером управления, используя TLS, что позволяет злоумышленникам проникать внутрь сети, обходя традиционные средства защиты. Логи показали, что заражённый хост взаимодействовал с внутренним почтовым сервером Exchange.
В ходе расследования выявлен уникальный сетевой инструмент NightEagle — вредонос, работающий исключительно в памяти. Это позволяет ему оставаться невидимым для большинства антивирусов и систем защиты. Образцы такого ПО на диске не сохраняются, а после завершения атаки удаляются из памяти. Однако специалистам удалось извлечь загрузочный компонент вредоноса — DLL-файл ASP.NET, внедрённый в сервис IIS сервера Exchange.
После запуска загрузчик создаёт виртуальные каталоги с именами, маскирующимися под языковые идентификаторы, например ~/auth/lang/cn.aspx или ~/auth/lang/zh.aspx. Запрос к такому адресу активирует вредонос в памяти, который ищет и выполняет встроенные функции внутри служебных компонентов Exchange.
Особое внимание привлекла неизвестная цепочка эксплуатации уязвимостей Exchange. Анализ сетевого трафика показал, что злоумышленники использовали ранее неизвестный 0day для получения machineKey Exchange -сервера. С его помощью хакеры проводили удалённую десериализацию и устанавливали вредоносное ПО на сервера любой совместимой версии, а также похищали электронную почту. Примечательно, что для подбора нужной версии Exchange злоумышленники последовательно перепробовали все популярные версии на рынке, демонстрируя высокий уровень подготовки и ресурсов.
Выяснилось, что атаки NightEagle продолжаются уже около года, причём кража почтовой переписки происходит на регулярной основе. Все операции тщательно замаскированы и сложно поддаются обнаружению. Изучив временные рамки активности группировки, специалисты установили, что атаки происходят строго с 21:00 до 6:00 по пекинскому времени. Это позволило определить вероятное происхождение — страна, расположенная в восьмом часовом поясе западного полушария, вероятнее всего, из Северной Америки.
NightEagle располагает обширной инфраструктурой доменов, каждый из которых используется строго для одного объекта атаки. Также злоумышленники активно атакуют системы, связанные с генеративными моделями ИИ. Все домены зарегистрированы через компанию Tucows, а IP-адреса во время работы вредоносного ПО указывают либо на локальные адреса, либо на американских провайдеров, включая DigitalOcean, Akamai и The Constant Company. Тайминг запросов — от 2 до 8 часов.
Для обнаружения следов атаки рекомендуется проверять системные каталоги Exchange на наличие подозрительных файлов с характерными именами и расширениями, а также анализировать логи почтового сервиса на предмет необычных запросов и поддельных UserAgent-строк.
С 2023 года команда Qian Pangu внимательно отслеживает деятельность одной из наиболее скрытных кибергруппировок. Группа, обладающая неизвестной цепочкой эксплуатации уязвимостей Exchange, выделяется внушительным финансовым ресурсом, позволяющим закупать огромное количество сетевых активов — серверов VPS и доменных имён. Каждому новому объекту атаки соответствует отдельный домен, а IP-адреса для его разрешения меняются с высокой скоростью. За способность к молниеносной смене инфраструктуры и активность преимущественно в ночное время её прозвали NightEagle, присвоив внутренний номер APT -Q-95.
На протяжении длительного времени NightEagle атакует ведущие компании и учреждения Китая, связанные с высокими технологиями, производством чипов и полупроводников, квантовыми разработками, искусственным интеллектом, крупными языковыми моделями, а также оборонной промышленностью. Главная цель — кража информации. После похищения данных злоумышленники незамедлительно покидают атакованный сегмент сети, тщательно заметая следы.
Первый тревожный сигнал о деятельности NightEagle поступил, когда специалисты зафиксировали аномальный DNS-запрос к домену synologyupdates[.]com, который маскировался под сервис популярного производителя NAS-устройств Synology. При проверке выяснилось, что домен не используется официально. DNS-серверы направляли его к IP-адресам внутри локальной сети вроде 127.0.0.1 или 192.168.1.1, скрывая реальный сервер злоумышленников.
Позже были выявилены массовые запросы к домену из внутренней сети клиента, повторяющиеся каждые 4 часа. На одном из хостов внутри сети обнаружен процесс SynologyUpdate.exe. Выяснилось, что это модифицированное вредоносное ПО семейства Chisel , скомпилированное на Go и предназначенное для проникновения внутрь сети. Вредонос запускался по расписанию через системные задачи.
Вредонос устанавливает socks-соединение с сервером управления, используя TLS, что позволяет злоумышленникам проникать внутрь сети, обходя традиционные средства защиты. Логи показали, что заражённый хост взаимодействовал с внутренним почтовым сервером Exchange.
В ходе расследования выявлен уникальный сетевой инструмент NightEagle — вредонос, работающий исключительно в памяти. Это позволяет ему оставаться невидимым для большинства антивирусов и систем защиты. Образцы такого ПО на диске не сохраняются, а после завершения атаки удаляются из памяти. Однако специалистам удалось извлечь загрузочный компонент вредоноса — DLL-файл ASP.NET, внедрённый в сервис IIS сервера Exchange.
После запуска загрузчик создаёт виртуальные каталоги с именами, маскирующимися под языковые идентификаторы, например ~/auth/lang/cn.aspx или ~/auth/lang/zh.aspx. Запрос к такому адресу активирует вредонос в памяти, который ищет и выполняет встроенные функции внутри служебных компонентов Exchange.
Особое внимание привлекла неизвестная цепочка эксплуатации уязвимостей Exchange. Анализ сетевого трафика показал, что злоумышленники использовали ранее неизвестный 0day для получения machineKey Exchange -сервера. С его помощью хакеры проводили удалённую десериализацию и устанавливали вредоносное ПО на сервера любой совместимой версии, а также похищали электронную почту. Примечательно, что для подбора нужной версии Exchange злоумышленники последовательно перепробовали все популярные версии на рынке, демонстрируя высокий уровень подготовки и ресурсов.
Выяснилось, что атаки NightEagle продолжаются уже около года, причём кража почтовой переписки происходит на регулярной основе. Все операции тщательно замаскированы и сложно поддаются обнаружению. Изучив временные рамки активности группировки, специалисты установили, что атаки происходят строго с 21:00 до 6:00 по пекинскому времени. Это позволило определить вероятное происхождение — страна, расположенная в восьмом часовом поясе западного полушария, вероятнее всего, из Северной Америки.
NightEagle располагает обширной инфраструктурой доменов, каждый из которых используется строго для одного объекта атаки. Также злоумышленники активно атакуют системы, связанные с генеративными моделями ИИ. Все домены зарегистрированы через компанию Tucows, а IP-адреса во время работы вредоносного ПО указывают либо на локальные адреса, либо на американских провайдеров, включая DigitalOcean, Akamai и The Constant Company. Тайминг запросов — от 2 до 8 часов.
Для обнаружения следов атаки рекомендуется проверять системные каталоги Exchange на наличие подозрительных файлов с характерными именами и расширениями, а также анализировать логи почтового сервиса на предмет необычных запросов и поддельных UserAgent-строк.