- 19,427
- 40
- 8 Ноя 2022
Проверьте логи до рассвета.
С 2023 года команда Qian Pangu внимательно Для просмотра ссылки Войдиили Зарегистрируйся деятельность одной из наиболее скрытных кибергруппировок. Группа, обладающая неизвестной цепочкой эксплуатации уязвимостей Exchange, выделяется внушительным финансовым ресурсом, позволяющим закупать огромное количество сетевых активов — серверов VPS и доменных имён. Каждому новому объекту атаки соответствует отдельный домен, а IP-адреса для его разрешения меняются с высокой скоростью. За способность к молниеносной смене инфраструктуры и активность преимущественно в ночное время её прозвали NightEagle, присвоив внутренний номер Для просмотра ссылки Войди или Зарегистрируйся -Q-95.
На протяжении длительного времени NightEagle атакует ведущие компании и учреждения Китая, связанные с высокими технологиями, производством чипов и полупроводников, квантовыми разработками, искусственным интеллектом, крупными языковыми моделями, а также оборонной промышленностью. Главная цель — кража информации. После похищения данных злоумышленники незамедлительно покидают атакованный сегмент сети, тщательно заметая следы.
Первый тревожный сигнал о деятельности NightEagle поступил, когда специалисты зафиксировали аномальный DNS-запрос к домену synologyupdates[.]com, который маскировался под сервис популярного производителя NAS-устройств Synology. При проверке выяснилось, что домен не используется официально. DNS-серверы направляли его к IP-адресам внутри локальной сети вроде 127.0.0.1 или 192.168.1.1, скрывая реальный сервер злоумышленников.
Позже были выявилены массовые запросы к домену из внутренней сети клиента, повторяющиеся каждые 4 часа. На одном из хостов внутри сети обнаружен процесс SynologyUpdate.exe. Выяснилось, что это модифицированное вредоносное ПО семейства Для просмотра ссылки Войдиили Зарегистрируйся , скомпилированное на Go и предназначенное для проникновения внутрь сети. Вредонос запускался по расписанию через системные задачи.
Вредонос устанавливает socks-соединение с сервером управления, используя TLS, что позволяет злоумышленникам проникать внутрь сети, обходя традиционные средства защиты. Логи показали, что заражённый хост взаимодействовал с внутренним почтовым сервером Exchange.
В ходе расследования выявлен уникальный сетевой инструмент NightEagle — вредонос, работающий исключительно в памяти. Это позволяет ему оставаться невидимым для большинства Для просмотра ссылки Войдиили Зарегистрируйся и систем защиты. Образцы такого ПО на диске не сохраняются, а после завершения атаки удаляются из памяти. Однако специалистам удалось извлечь загрузочный компонент вредоноса — DLL-файл ASP.NET, внедрённый в сервис IIS сервера Exchange.
После запуска загрузчик создаёт виртуальные каталоги с именами, маскирующимися под языковые идентификаторы, например ~/auth/lang/cn.aspx или ~/auth/lang/zh.aspx. Запрос к такому адресу активирует вредонос в памяти, который ищет и выполняет встроенные функции внутри служебных компонентов Exchange.
Особое внимание привлекла неизвестная цепочка эксплуатации уязвимостей Exchange. Анализ сетевого трафика показал, что злоумышленники использовали ранее неизвестный Для просмотра ссылки Войдиили Зарегистрируйся для получения machineKey Для просмотра ссылки Войди или Зарегистрируйся -сервера. С его помощью хакеры проводили удалённую десериализацию и устанавливали вредоносное ПО на сервера любой совместимой версии, а также похищали электронную почту. Примечательно, что для подбора нужной версии Exchange злоумышленники последовательно перепробовали все популярные версии на рынке, демонстрируя высокий уровень подготовки и ресурсов.
Выяснилось, что атаки NightEagle продолжаются уже около года, причём кража почтовой переписки происходит на регулярной основе. Все операции тщательно замаскированы и сложно поддаются обнаружению. Изучив временные рамки активности группировки, специалисты установили, что атаки происходят строго с 21:00 до 6:00 по пекинскому времени. Это позволило определить вероятное происхождение — страна, расположенная в восьмом часовом поясе западного полушария, вероятнее всего, из Северной Америки.
NightEagle располагает обширной инфраструктурой доменов, каждый из которых используется строго для одного объекта атаки. Также злоумышленники активно атакуют системы, связанные с генеративными моделями ИИ. Все домены зарегистрированы через компанию Tucows, а IP-адреса во время работы вредоносного ПО указывают либо на локальные адреса, либо на американских провайдеров, включая DigitalOcean, Akamai и The Constant Company. Тайминг запросов — от 2 до 8 часов.
Для обнаружения следов атаки рекомендуется проверять системные каталоги Exchange на наличие подозрительных файлов с характерными именами и расширениями, а также анализировать логи почтового сервиса на предмет необычных запросов и поддельных UserAgent-строк.
С 2023 года команда Qian Pangu внимательно Для просмотра ссылки Войди
На протяжении длительного времени NightEagle атакует ведущие компании и учреждения Китая, связанные с высокими технологиями, производством чипов и полупроводников, квантовыми разработками, искусственным интеллектом, крупными языковыми моделями, а также оборонной промышленностью. Главная цель — кража информации. После похищения данных злоумышленники незамедлительно покидают атакованный сегмент сети, тщательно заметая следы.
Первый тревожный сигнал о деятельности NightEagle поступил, когда специалисты зафиксировали аномальный DNS-запрос к домену synologyupdates[.]com, который маскировался под сервис популярного производителя NAS-устройств Synology. При проверке выяснилось, что домен не используется официально. DNS-серверы направляли его к IP-адресам внутри локальной сети вроде 127.0.0.1 или 192.168.1.1, скрывая реальный сервер злоумышленников.
Позже были выявилены массовые запросы к домену из внутренней сети клиента, повторяющиеся каждые 4 часа. На одном из хостов внутри сети обнаружен процесс SynologyUpdate.exe. Выяснилось, что это модифицированное вредоносное ПО семейства Для просмотра ссылки Войди
Вредонос устанавливает socks-соединение с сервером управления, используя TLS, что позволяет злоумышленникам проникать внутрь сети, обходя традиционные средства защиты. Логи показали, что заражённый хост взаимодействовал с внутренним почтовым сервером Exchange.
В ходе расследования выявлен уникальный сетевой инструмент NightEagle — вредонос, работающий исключительно в памяти. Это позволяет ему оставаться невидимым для большинства Для просмотра ссылки Войди
После запуска загрузчик создаёт виртуальные каталоги с именами, маскирующимися под языковые идентификаторы, например ~/auth/lang/cn.aspx или ~/auth/lang/zh.aspx. Запрос к такому адресу активирует вредонос в памяти, который ищет и выполняет встроенные функции внутри служебных компонентов Exchange.
Особое внимание привлекла неизвестная цепочка эксплуатации уязвимостей Exchange. Анализ сетевого трафика показал, что злоумышленники использовали ранее неизвестный Для просмотра ссылки Войди
Выяснилось, что атаки NightEagle продолжаются уже около года, причём кража почтовой переписки происходит на регулярной основе. Все операции тщательно замаскированы и сложно поддаются обнаружению. Изучив временные рамки активности группировки, специалисты установили, что атаки происходят строго с 21:00 до 6:00 по пекинскому времени. Это позволило определить вероятное происхождение — страна, расположенная в восьмом часовом поясе западного полушария, вероятнее всего, из Северной Америки.
NightEagle располагает обширной инфраструктурой доменов, каждый из которых используется строго для одного объекта атаки. Также злоумышленники активно атакуют системы, связанные с генеративными моделями ИИ. Все домены зарегистрированы через компанию Tucows, а IP-адреса во время работы вредоносного ПО указывают либо на локальные адреса, либо на американских провайдеров, включая DigitalOcean, Akamai и The Constant Company. Тайминг запросов — от 2 до 8 часов.
Для обнаружения следов атаки рекомендуется проверять системные каталоги Exchange на наличие подозрительных файлов с характерными именами и расширениями, а также анализировать логи почтового сервиса на предмет необычных запросов и поддельных UserAgent-строк.
- Источник новости
- www.securitylab.ru
