NightEagle APT атакует промышленные системы с помощью кастомного вредоносного ПО и zero-day уязвимостей

Группа NightEagle действует с 2023 года, демонстрируя высочайший уровень технической оснащенности и гибкости. Их основная цель - хищение конфиденциальной информации, причем злоумышленники тщательно маскируют свои действия, удаляя следы вторжения после завершения операции.

Одной из ключевых особенностей NightEagle является использование быстро сменяемой инфраструктуры. Группа активно использует виртуальные частные серверы (VPS) и динамические домены, что значительно усложняет их обнаружение. Киберразведка Qian Pangu выявила аномальные DNS-запросы к домену "synologyupdates.com", который маскировался под легитимный сервис Synology для обновления NAS-устройств. Однако вместо реальных серверов запросы перенаправлялись на локальные IP-адреса, такие как 127.0.0.1, что позволяло злоумышленникам скрывать истинное расположение своих командных серверов.

Глубокий анализ с помощью системы Qianxin AISOC показал, что NightEagle использует вредоносное ПО, написанное на языке Go, под названием "SynologyUpdate.exe". Оно относится к семейству Chisel и позволяет устанавливать SOCKS-соединение через порт 443, обеспечивая злоумышленникам доступ к внутренней сети жертвы. Вредоносная программа запускается каждые четыре часа через запланированные задачи, что делает атаку устойчивой и трудно обнаруживаемой.

Одним из наиболее опасных инструментов NightEagle является так называемый "memory horse" - вредоносный код, который внедряется непосредственно в память серверов Exchange, не оставляя следов на жестком диске. Это делает его практически невидимым для традиционных антивирусных решений. Код загружается через поддельную DLL-библиотеку ASP.NET с названием "App_Web_cn*.dll", которая создает скрытые URL-пути, имитирующие легитимные директории, такие как "/owa/auth/".

Кроме того, NightEagle применяет цепочку zero-day уязвимостей в серверах Exchange, позволяющих злоумышленникам красть ключи шифрования, десериализовать данные и удаленно перехватывать электронные письма целевых пользователей. Анализ сетевого трафика с помощью системы Qianxin Tianyan NDR показал, что данные утекали с пораженных серверов в течение почти года.

Интересно, что активность NightEagle строго привязана к определенному временному окну: атаки происходят с 21:00 до 06:00 по пекинскому времени, что указывает на возможное расположение операторов в Северной Америке (UTC-8). Кроме того, выбор целей соответствует текущим геополитическим трендам и стремительному развитию китайской индустрии искусственного интеллекта. Например, был обнаружен домен "comfyupdate.org", связанный с атаками на AI-инструменты.

Обнаружение NightEagle подтверждает, что APT-группы продолжают совершенствовать свои техники, используя сложные методы обхода защиты и атакуя ключевые отрасли промышленности. В условиях растущих киберугроз компаниям необходимо внедрять многоуровневые системы мониторинга и реагирования, чтобы минимизировать риски проникновения злоумышленников в корпоративные сети.

Domains

• app.flowgw.com
• cloud.synologyupdates.com
• comfyupdate.org
• coremailtech.com
• dashboard.daihou360.com
• e-mailrelay.com
• fastapi-cdn.com
• fortisys.net