Cet article, publié par l’équipe de chercheurs chinois QiAnXin, révèle les activités d’un groupe APT nommé NightEagle qui cible depuis 2023 des entreprises chinoises dans des secteurs technologiques de pointe. Le groupe utilise une chaîne d’exploitation de vulnérabilités inconnues d’Exchange pour voler des informations sensibles.

NightEagle est connu pour sa capacité à changer rapidement d’infrastructure réseau, utilisant des noms de domaine uniques pour chaque cible et modifiant fréquemment les ressources IP. Les attaques visent à voler des renseignements dans des domaines tels que la technologie quantique, l’intelligence artificielle et l’industrie militaire, avec un accent particulier sur les grandes entreprises technologiques chinoises.

L’analyse initiale a détecté une requête DNS anormale pour un domaine déguisé en service Synology. Après enquête, un malware de la famille Chisel, modifié en Go, a été découvert, permettant une pénétration du réseau interne via une connexion socks. Le groupe a également utilisé un malware mémoire injecté dans le service Exchange, évitant ainsi la détection par les antivirus.

Les attaques sont caractérisées par l’exploitation d’une vulnérabilité 0-day d’Exchange, permettant aux attaquants de voler des données d’e-mails en accédant à des clés critiques. Les activités du groupe sont synchronisées avec des événements géopolitiques, et des domaines malveillants spécifiques sont utilisés pour chaque attaque, souvent liés à des événements technologiques récents en Chine.

Cette divulgation vise à sensibiliser et à fournir des indicateurs de compromission (IOCs) et des techniques, tactiques et procédures (TTPs) pour aider à la détection et à la protection contre de telles attaques, soulignant l’importance de la fusion de données multi-sources et de l’automatisation dans la défense contre les menaces avancées.

🧠 TTPs et IOCs détectés

TTP

[“Utilisation de vulnérabilités 0-day d’Exchange”, “Changement rapide d’infrastructure réseau”, ‘Utilisation de noms de domaine uniques pour chaque cible’, ‘Modification fréquente des ressources IP’, ‘Utilisation de requêtes DNS anormales’, ‘Utilisation de malware de la famille Chisel modifié en Go’, ‘Pénétration du réseau via une connexion socks’, ‘Injection de malware en mémoire dans le service Exchange’, “Vol de données d’e-mails via accès à des clés critiques”, ‘Synchronisation des attaques avec des événements géopolitiques’]

IOC

[‘Requête DNS anormale pour un domaine déguisé en service Synology’, ‘Domaines malveillants spécifiques liés à des événements technologiques récents en Chine’]

🔗 Source originale : https://github.com/RedDrip7/NightEagle_Disclose/blob/main/Exclusive%20disclosure%20of%20the%20attack%20activities%20of%20the%20APT%20group%20NightEagle.pdf