Sofisticirana APT grupa nazvana “NightEagle” (APT-Q-95) od 2023. godine sprovodi ciljane napade na ključne tehnološke sektore Kine.
Ova grupa je pokazala izuzetne sposobnosti u iskorištavanju nepoznatih ranjivosti u Exchange sistemima i uvođenju prilagodljivog malvera radi krađe osjetljivih informacija iz visokotehnoloških kompanija, proizvođača poluvodiča, kvantne tehnologije, razvojnih programa umjetne inteligencije i organizacija vojne industrije.
Ključni zaključci analize ukazuju na to da NightEagle koristi nepoznate ranjivosti Exchange sistema za krađu ključnih akreditacija računara i ubacivanje malvera koji se zadržava u memoriji radi izbjegavanja otkrivanja. Djeluju sa značajnim finansijskim sredstvima, koristeći namjenske domene za napade na svaki cilj, koji miruju tako što se povezuju na lokalne IP adrese (127.0.0.1). Grupa je od 2023. godine usmjerena na kineske visokotehnološke sektore, uključujući AI, kvantnu tehnologiju, poluvodiče i vojsku, te uspješno krade elektronsku poštu već skoro godinu dana. Fiksno radno vrijeme od 21:00 do 06:00 po pekinškom vremenu sugeriše porijeklo iz zapadnih vremenskih zona i geopolitički motivirane ciljeve.
Napredno iskorištavanje nultodnevnih ranjivosti (0-Day)
Prema navodima Qian Pangua, NightEagle raspolaže kompletnim arsenalom oružja za iskorištavanje nepoznatih ranjivosti Exchange sistema, ciljajući visokotehnološke kompanije, proizvođače poluvodiča, firme u oblasti kvantne tehnologije, razvojne programe umjetne inteligencije i entitete vojne industrije. Metodologija napada grupe fokusira se na iskorištavanje neotkrivenih nultodnevnih ranjivosti radi dobijanja ključeva računara na Exchange serverima, što omogućava deserializacione operacije i ubacivanje malvera u odgovarajuće verzije Exchange sistema. Sekvenca napada započinje uvođenjem prilagođenog malvera iz porodice Chisel, kompajliranog u Go programskom jeziku, koji se izvršava putem komande. Time se uspostavljaju SOCKS veze preko porta 443 ka komandnoj i kontrolnoj infrastrukturi, koristeći hardkodirane parametre autentifikacije za postizanje postojanosti.
Napad zasnovan na memoriji i bez datoteka
Najsofisticiranije oružje grupe uključuje malver zasnovan na memoriji koji operiše isključivo u RAM-u bez ostavljanja tragova na disku, čime izbjegava tradicionalno otkrivanje antivirusnih programa. Mehanizam napada koristi predkompajlirani DLL učitavač za ASP.NET, označen kao App_Web_cn*.dll, koji kreira virtuelne URL direktorijume u formatima poput ~/auth/lang/cn*.aspx i ~/auth/lang/zh.aspx unutar IIS usluga Exchange servera. Nakon prijema zahtjeva na ove virtuelne direktorijume, malver u memoriji pretražuje “App_Web_Container_1” sklop, locira zlonamjernu klasu funkcije “App_Web_8c9b251fb5b3” i izvršava primarnu funkciju “AppWebInit”. Ova sofisticirana tehnika injektiranja omogućava napadačima da zadrže postojani pristup, istovremeno izbjegavajući forenzičko otkrivanje zasnovano na disku.
Grupa demonstrira izuzetnu operativnu sigurnost kroz korištenje namjenskih domena za napade na svaki cilj, uključujući indikatore kompromitovanja (IoCs) kao što su synologyupdates.com, comfyupdate.org, coremailtech.com i fastapi-cdn.com. Registracije domena dosljedno koriste Tucows kao registrar, sa DNS rezolucijom koja tokom aktivnih kampanja ukazuje na infrastrukturu hostovanu kod DigitalOcean, Akamai i Constant Company.
Obrasci napada NightEagle grupe otkrivaju visoko organizovanog aktera prijetnje koji djeluje po konstantnom rasporedu od 21:00 do 06:00 po pekinškom vremenu, što ukazuje na operacije iz zapadne 8. vremenske zone, vjerojatno sa područja Sjeverne Amerike. Strategija ciljanja grupe prilagođava se geopolitičkim događajima i sve više se fokusira na kinesku industriju velikih AI modela, iskorištavajući ranjivosti u sistemima koji koriste alate poput ComfyUI za AI aplikacije. Analiza otkriva da je NightEagle uspješno eksfiltrirao osjetljive podatke elektronske pošte iz ciljanih organizacija u periodu od skoro godinu dana, pokazujući sposobnost grupe za dugoročne operacije prikupljanja obavještajnih podataka. Značajna finansijska sredstva aktera prijetnje omogućavaju nabavku opsežne mrežne infrastrukture, uključujući brojne VPS servere i domene za svaku kampanju.
