Американский 0day в Exchange позволил APT-группе NightEagle годами выкачивать данные из китайских компаний

Специалисты из команды Qian Pangu выявили масштабную кибератаку на китайские высокотехнологичные компании, которую организовала группировка NightEagle (APT-Q-95), обладающая эксклюзивным 0day-эксплойтом для Microsoft Exchange. Хакеры использовали уникальную цепочку уязвимостей для получения полного контроля над серверами: после кражи данных злоумышленники быстро покидали сеть, стирая следы, что позволяло им месяцами оставаться незамеченными.

Для проникновения внутрь сетей компаний использовался маскирующийся под Synology процесс SynologyUpdate.exe, который запускался по расписанию и создавал зашифрованные socks-соединения через TLS. Вредоносный код Chisel на Go, внедрённый через поддельный домен synologyupdates[.]com, обеспечивал стабильный доступ к инфраструктуре жертв. Ключевым элементом атаки стал модуль, внедряемый в IIS Exchange в виде ASP.NET-DLL, который запускался при обращении к псевдо-языковым каталогам и оставался незаметным для большинства антивирусов.

Анализ трафика показал, что для эксплуатации серверов злоумышленники последовательно пробовали разные версии Exchange, подбирая параметры для успешного получения machineKey, что открывало возможность удалённой десериализации и установки вредоносного ПО. Активность NightEagle фиксировалась строго в ночные часы по пекинскому времени, что дало основания предположить западное происхождение группы.

Для обнаружения компрометации эксперты советуют проверить Exchange на наличие подозрительных виртуальных каталогов, изучить логи на предмет необычных UserAgent-строк и обратить внимание на DNS-запросы к фальшивым доменам. Вредоносная инфраструктура NightEagle базировалась на хостингах в США, включая DigitalOcean и Akamai, а все домены регистрировались через Tucows и использовались строго для одной атаки, что усложняло выявление кампании.