Deep Web
NightEagle: Η νέα απειλή για την ασφάλεια του Microsoft Exchange
Το NightEagle εκμεταλλεύεται ευπάθεια του Microsoft Exchange για επίθεση σε στρατιωτικούς και τεχνολογικούς τομείς της Κίνας.
Η ανάδυση του NightEagle
Οι ερευνητές κυβερνοασφάλειας έχουν φέρει στο φως μια νέα απειλή, γνωστή ως NightEagle (ή APT-Q-95), η οποία στοχεύει τους διακομιστές Microsoft Exchange μέσω μιας αλυσίδας εκμετάλλευσης zero-day. Αυτή η απειλή έχει ως στόχο κυβερνητικούς, αμυντικούς και τεχνολογικούς τομείς στην Κίνα. Η ομάδα RedDrip της QiAnXin αποκάλυψε ότι ο NightEagle δραστηριοποιείται από το 2023 και αλλάζει την υποδομή δικτύου του με εξαιρετικά γρήγορο ρυθμό. Τα ευρήματα παρουσιάστηκαν στο CYDES 2025, την τρίτη έκδοση της Εθνικής Έκθεσης και Συνδιάσκεψης Κυβερνοάμυνας και Ασφάλειας της Μαλαισίας, που πραγματοποιήθηκε από την 1η έως τις 3 Ιουλίου 2025.
Η τακτική του NightEagle
Η ονομασία του NightEagle προέρχεται από την ταχύτητα και την αθόρυβη λειτουργία του, καθώς δραστηριοποιείται κυρίως κατά τη νύχτα στην Κίνα. Οι επιθέσεις του επικεντρώνονται σε τομείς υψηλής τεχνολογίας, όπως οι ημιαγωγοί, η κβαντική τεχνολογία, η τεχνητή νοημοσύνη και ο στρατός, με κύριο στόχο τη συλλογή πληροφοριών. Η QiAnXin ανέφερε ότι ξεκίνησε έρευνα αφού ανακάλυψε μια προσαρμοσμένη έκδοση του εργαλείου Chisel, βασισμένου στη γλώσσα Go, σε έναν από τους τερματικούς σταθμούς πελάτη της. Το εργαλείο αυτό είχε ρυθμιστεί να ξεκινά αυτόματα κάθε τέσσερις ώρες ως μέρος μιας προγραμματισμένης εργασίας.
Η τεχνική διείσδυσης
Ο επιτιθέμενος τροποποίησε τον πηγαίο κώδικα του ανοικτού κώδικα εργαλείου Chisel για διείσδυση εντός δικτύου, κωδικοποίησε τις παραμέτρους εκτέλεσης, χρησιμοποίησε συγκεκριμένο όνομα χρήστη και κωδικό πρόσβασης, δημιούργησε σύνδεση socks με το άκρο 443 της καθορισμένης διεύθυνσης C&C και το αντιστοίχισε στην καθορισμένη θύρα του κεντρικού υπολογιστή C&C για να επιτύχει τη λειτουργία διείσδυσης εντός δικτύου.
Η εκμετάλλευση του Microsoft Exchange
Ο Trojan παραδίδεται μέσω ενός φορτωτή .NET, ο οποίος εμφυτεύεται στην υπηρεσία Internet Information Server (IIS) του Microsoft Exchange Server. Περαιτέρω ανάλυση αποκάλυψε την ύπαρξη μιας zero-day ευπάθειας που επέτρεψε στους επιτιθέμενους να αποκτήσουν το machineKey και να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση στον Exchange Server. Ο επιτιθέμενος χρησιμοποίησε το κλειδί για να αποσειριοποιήσει τον διακομιστή Exchange, εμφυτεύοντας έτσι έναν Trojan σε οποιονδήποτε διακομιστή που συμμορφώνεται με την έκδοση Exchange και διαβάζοντας εξ αποστάσεως τα δεδομένα των γραμματοκιβωτίων οποιουδήποτε ατόμου.
Πιθανοί δράστες και επιπτώσεις
Η QiAnXin υποστήριξε ότι η δραστηριότητα πιθανότατα προέρχεται από έναν απειλητικό παράγοντα από τη Βόρεια Αμερική, δεδομένου ότι οι επιθέσεις πραγματοποιήθηκαν μεταξύ 9 μ.μ. και 6 π.μ. ώρα Πεκίνου. Το Hacker News έχει επικοινωνήσει με τη Microsoft για περαιτέρω σχόλια και θα ενημερώσουμε την ιστορία αν λάβουμε απάντηση.