HomeNews* Một nhóm đe dọa mới được biết đến với tên gọi NightEagle (APT-Q-95) đã nhắm tới các máy chủ Microsoft Exchange ở Trung Quốc bằng cách sử dụng các lỗ hổng zero-day.
Các cuộc tấn công mạng tập trung vào các tổ chức chính phủ, quốc phòng và công nghệ, đặc biệt trong các lĩnh vực như bán dẫn, công nghệ lượng tử, Trí tuệ Nhân tạo và nghiên cứu quân sự.
NightEagle sử dụng một phiên bản đã được sửa đổi của công cụ mã nguồn mở Chisel, được cung cấp thông qua một trình tải .NET tùy chỉnh được cài vào Microsoft Internet Information Server (IIS).
Những kẻ tấn công khai thác một lỗ hổng zero-day của Sàn giao dịch để lấy được thông tin đăng nhập quan trọng, cho phép truy cập trái phép và trích xuất dữ liệu từ các máy chủ mục tiêu.
Các nhà nghiên cứu bảo mật đề xuất rằng tác nhân đe dọa hoạt động vào ban đêm ở Trung Quốc và có thể có trụ sở tại Bắc Mỹ, dựa trên thời gian tấn công được quan sát.
Các nhà nghiên cứu đã xác định một nhóm gián điệp mạng chưa từng được biết đến, NightEagle, đang tích cực nhắm mục tiêu vào máy chủ Microsoft Exchange tại Trung Quốc. Nhóm mối đe dọa này sử dụng một chuỗi các lỗ hổng zero-day để xâm nhập vào các tổ chức trong các lĩnh vực chính phủ, quốc phòng và công nghệ tiên tiến.
Quảng cáo - Theo Đội RedDrip của QiAnXin, NightEagle đã nhắm đến các công ty trong các lĩnh vực như bán dẫn, công nghệ lượng tử, trí tuệ nhân tạo và nghiên cứu phát triển quân sự. Nhóm này đã hoạt động từ năm 2023, di chuyển nhanh chóng giữa các hạ tầng mạng khác nhau và thường xuyên cập nhật các phương pháp của mình.
Nhóm nghiên cứu đã bắt đầu cuộc điều tra của họ sau khi phát hiện một phiên bản tùy chỉnh của công cụ xâm nhập Chisel trên hệ thống của một khách hàng. Công cụ này được thiết lập để chạy tự động mỗi bốn giờ. Các nhà phân tích đã giải thích trong báo cáo của họ rằng những kẻ tấn công đã thay đổi công cụ Chisel mã nguồn mở, thiết lập các tên người dùng, mật khẩu cố định và kết nối các cổng cụ thể giữa mạng bị xâm phạm và máy chủ chỉ huy của họ.
Malware ban đầu được chuyển giao thông qua một trình tải .NET, được nhúng trong Internet Information Server (IIS) của máy chủ Exchange. Những kẻ tấn công khai thác một lỗ hổng chưa được công bố - một lỗ hổng zero-day - để truy xuất thông tin xác thực machineKey của máy chủ. Điều này cho phép họ giải mã và tải thêm malware vào bất kỳ máy chủ Exchange nào của phiên bản tương thích, từ đó giành quyền truy cập từ xa và khả năng đọc dữ liệu hộp thư.
Một người phát ngôn của QiAnXin cho biết, “Nó dường như có tốc độ của một con đại bàng và đã hoạt động vào ban đêm ở Trung Quốc,” đề cập đến giờ hoạt động của nhóm và lý do đặt tên. Dựa trên các mẫu hoạt động, các nhà điều tra nghi ngờ NightEagle có thể có trụ sở tại Bắc Mỹ vì hầu hết các cuộc tấn công xảy ra từ 9 giờ tối đến 6 giờ sáng theo giờ Bắc Kinh.
Các phát hiện đã được công bố tại CYDES 2025, Triển lãm và Hội nghị Quốc gia về Phòng thủ và An ninh mạng của Malaysia. QiAnXin đã thông báo cho Microsoft về nghiên cứu để có hành động tiếp theo.
Bài viết trước:
BRICS sẽ ra mắt Quỹ Bảo lãnh Đa phương tại Hội nghị Thượng đỉnh Rio
Eurex Clearing Ra Mắt Giải Pháp Tài Sản Dựa Trên DLT cho Margin
Người đàn ông Droitwich đối mặt với 39 cáo buộc lừa đảo liên quan đến vụ trộm từ thiện 206.000 bảng
Bitcoin tiến gần mức cao kỷ lục khi các dự luật ủng hộ tiền điện tử được đưa ra Quốc hội Hoa Kỳ
Cá voi Bitcoin ngủ đông di chuyển 3 tỷ USD sau 14 năm, gây xôn xao
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
NightEagle APT Nhắm Đến Trung Quốc Thông Qua Các Lỗ Hổng Zero-Day Của Exchange
HomeNews* Một nhóm đe dọa mới được biết đến với tên gọi NightEagle (APT-Q-95) đã nhắm tới các máy chủ Microsoft Exchange ở Trung Quốc bằng cách sử dụng các lỗ hổng zero-day.
Nhóm nghiên cứu đã bắt đầu cuộc điều tra của họ sau khi phát hiện một phiên bản tùy chỉnh của công cụ xâm nhập Chisel trên hệ thống của một khách hàng. Công cụ này được thiết lập để chạy tự động mỗi bốn giờ. Các nhà phân tích đã giải thích trong báo cáo của họ rằng những kẻ tấn công đã thay đổi công cụ Chisel mã nguồn mở, thiết lập các tên người dùng, mật khẩu cố định và kết nối các cổng cụ thể giữa mạng bị xâm phạm và máy chủ chỉ huy của họ.
Malware ban đầu được chuyển giao thông qua một trình tải .NET, được nhúng trong Internet Information Server (IIS) của máy chủ Exchange. Những kẻ tấn công khai thác một lỗ hổng chưa được công bố - một lỗ hổng zero-day - để truy xuất thông tin xác thực machineKey của máy chủ. Điều này cho phép họ giải mã và tải thêm malware vào bất kỳ máy chủ Exchange nào của phiên bản tương thích, từ đó giành quyền truy cập từ xa và khả năng đọc dữ liệu hộp thư.
Một người phát ngôn của QiAnXin cho biết, “Nó dường như có tốc độ của một con đại bàng và đã hoạt động vào ban đêm ở Trung Quốc,” đề cập đến giờ hoạt động của nhóm và lý do đặt tên. Dựa trên các mẫu hoạt động, các nhà điều tra nghi ngờ NightEagle có thể có trụ sở tại Bắc Mỹ vì hầu hết các cuộc tấn công xảy ra từ 9 giờ tối đến 6 giờ sáng theo giờ Bắc Kinh.
Các phát hiện đã được công bố tại CYDES 2025, Triển lãm và Hội nghị Quốc gia về Phòng thủ và An ninh mạng của Malaysia. QiAnXin đã thông báo cho Microsoft về nghiên cứu để có hành động tiếp theo.
Bài viết trước: