Η ομάδα NightEagle στοχεύει την Κίνα μέσω Microsoft Exchange
secnews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
Η ομάδα NightEagle στοχεύει την Κίνα μέσω Microsoft Exchange
https://www.secnews.gr/653067/omada-nighteagle-stoxeyei-kina-microsoft-exchange/
Jul 4th 2025, 17:45
by Digital Fortress
Ερευνητές στον τομέα της κυβερνοασφάλειας αποκάλυψαν μια νέα ομάδα απειλών, με την ονομασία NightEagle – ή αλλιώς APT-Q-95 – η οποία φέρεται να στοχεύει Microsoft Exchange servers σε κρίσιμους τομείς της Κίνας, όπως ο κυβερνητικός, ο αμυντικός και ο τεχνολογικός.
Σύμφωνα με την ομάδα RedDrip της QiAnXin, η ομάδα NightEagle δρα τουλάχιστον από το 2023 και επιδεικνύει υψηλό επίπεδο ευελιξίας, αλλάζοντας την υποδομή δικτύου της με εντυπωσιακή ταχύτητα. Η αποκάλυψη έγινε στο πλαίσιο του CYDES 2025, που πραγματοποιήθηκε 1–3 Ιουλίου.
Η ονομασία της ομάδας προέκυψε, σύμφωνα με τη QiAnXin, λόγω της "νυχτερινής" δραστηριότητάς της και της ταχύτητας δράσης της – "σαν αετός που επιτίθεται στο σκοτάδι", όπως χαρακτηριστικά δήλωσε η εταιρεία.
Δείτε επίσης: Το Microsoft Exchange Online επισημαίνει email του Gmail ως spam
Οι επιθέσεις της NightEagle φέρεται να επικεντρώνονται σε οργανισμούς που δραστηριοποιούνται σε τομείς όπως η υψηλή τεχνολογία, τα τσιπ, η κβαντική πληροφορική, η τεχνητή νοημοσύνη και οι στρατιωτικές εφαρμογές, με ξεκάθαρο στόχο την υποκλοπή στρατηγικών πληροφοριών.
Η RedDrip αποκάλυψε ότι η έρευνα ξεκίνησε μετά τον εντοπισμό μιας τροποποιημένης έκδοσης του εργαλείου Chisel στο σύστημα ενός πελάτη. Το εργαλείο είχε διαμορφωθεί να λειτουργεί αυτόματα ανά τέσσερις ώρες μέσω προγραμματισμένης εργασίας, ένδειξη προηγμένου και επίμονου μηχανισμού διείσδυσης.
"Ο εισβολέας τροποποίησε τον πηγαίο κώδικα του open-source Chisel intranet penetration tool, κωδικοποίησε τις παραμέτρους εκτέλεσης, χρησιμοποίησε το καθορισμένο όνομα χρήστη και κωδικό πρόσβασης, δημιούργησε μια σύνδεση socks με το 443 end της καθορισμένης διεύθυνσης C&C και την αντιστοίχισε στην καθορισμένη θύρα του C&C host για να επιτύχει το intranet penetration function", είπαν οι ερευνητές.
Δείτε επίσης: Microsoft: Τέλος υποστήριξης για τα Exchange 2016 και 2019 τον Οκτώβριο του 2025
Η ομάδα αποκάλυψε επίσης ότι ο κακόβουλος κώδικας παραδίδεται μέσω ενός .NET loader, ο οποίος εγκαθίσταται εντός της υπηρεσίας IIS στον Microsoft Exchange Server. Η τεχνική αξιοποιεί ένα κρίσιμο zero-day exploit, που επιτρέπει στους εισβολείς να αποκτήσουν το machineKey, δίνοντάς τους τη δυνατότητα να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση στο σύστημα.
Χρησιμοποιώντας αυτό το κλειδί, οι επιτιθέμενοι προχώρησαν σε deserialization του Exchange Server, καταφέρνοντας να εγκαταστήσουν trojan σε οποιοδήποτε συμβατό σύστημα και να διαβάζουν εξ αποστάσεως τα περιεχόμενα του mailbox χωρίς να γίνονται αντιληπτοί.
Η QiAnXin υποστηρίζει ότι οι επιθέσεις μπορεί να προέρχονται από τη Βόρεια Αμερική.
Η υπόθεση NightEagle είναι καμπανάκι κινδύνου για τις επιχειρήσεις και τους οργανισμούς που δεν έχουν ακόμα ενισχύσει την παρακολούθηση συστημάτων email και την ανίχνευση μη εξουσιοδοτημένων ενεργειών στο intranet.
Δείτε επίσης: Κινέζοι hackers στοχεύουν τη Γαλλία μέσω zero-day ευπαθειών Ivanti
Πρέπει να λαμβάνονται προληπτικά μέτρα προστασίας. Οι οργανισμοί πρέπει να ενημερώνονται συνεχώς για τις τελευταίες απειλές κυβερνοασφάλειας και τις τεχνικές που χρησιμοποιούν οι επιτιθέμενοι.
Επιπλέον, είναι σημαντικό να υπάρχει ένα ισχυρό σύστημα ασφάλειας πληροφοριών που περιλαμβάνει τακτικά αναθεωρημένες πολιτικές και διαδικασίες ασφάλειας, καθώς και τη χρήση τεχνολογιών προστασίας από επιθέσεις. Η εφαρμογή των πιο πρόσφατων ενημερώσεων σε όλα τα συστήματα και τις εφαρμογές βοηθά στην αντιμετώπιση ευπαθειών, που θα μπορούσαν να εκμεταλλευτούν οι hackers.
Η εκπαίδευση του προσωπικού είναι εξίσου κρίσιμη. Το προσωπικό πρέπει να είναι ενήμερο για τις τρέχουσες απειλές και τρόπους προστασίας, καθώς και για τη σημασία της προστασίας των πληροφοριών του οργανισμού. Είναι σημαντικό να μπορεί κάποιος να αναγνωρίζει ύποπτα emails και μηνύματα, καθώς η μόλυνση συστημάτων γίνεται συχνά μέσω phishing.
Πηγή: thehackernews.com
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
IT Security News, Gadgets, Tweaks for Geeks and More
Η ομάδα NightEagle στοχεύει την Κίνα μέσω Microsoft Exchange
https://www.secnews.gr/653067/omada-nighteagle-stoxeyei-kina-microsoft-exchange/
Jul 4th 2025, 17:45
by Digital Fortress
Ερευνητές στον τομέα της κυβερνοασφάλειας αποκάλυψαν μια νέα ομάδα απειλών, με την ονομασία NightEagle – ή αλλιώς APT-Q-95 – η οποία φέρεται να στοχεύει Microsoft Exchange servers σε κρίσιμους τομείς της Κίνας, όπως ο κυβερνητικός, ο αμυντικός και ο τεχνολογικός.
Σύμφωνα με την ομάδα RedDrip της QiAnXin, η ομάδα NightEagle δρα τουλάχιστον από το 2023 και επιδεικνύει υψηλό επίπεδο ευελιξίας, αλλάζοντας την υποδομή δικτύου της με εντυπωσιακή ταχύτητα. Η αποκάλυψη έγινε στο πλαίσιο του CYDES 2025, που πραγματοποιήθηκε 1–3 Ιουλίου.
Η ονομασία της ομάδας προέκυψε, σύμφωνα με τη QiAnXin, λόγω της "νυχτερινής" δραστηριότητάς της και της ταχύτητας δράσης της – "σαν αετός που επιτίθεται στο σκοτάδι", όπως χαρακτηριστικά δήλωσε η εταιρεία.
Δείτε επίσης: Το Microsoft Exchange Online επισημαίνει email του Gmail ως spam
Οι επιθέσεις της NightEagle φέρεται να επικεντρώνονται σε οργανισμούς που δραστηριοποιούνται σε τομείς όπως η υψηλή τεχνολογία, τα τσιπ, η κβαντική πληροφορική, η τεχνητή νοημοσύνη και οι στρατιωτικές εφαρμογές, με ξεκάθαρο στόχο την υποκλοπή στρατηγικών πληροφοριών.
Η RedDrip αποκάλυψε ότι η έρευνα ξεκίνησε μετά τον εντοπισμό μιας τροποποιημένης έκδοσης του εργαλείου Chisel στο σύστημα ενός πελάτη. Το εργαλείο είχε διαμορφωθεί να λειτουργεί αυτόματα ανά τέσσερις ώρες μέσω προγραμματισμένης εργασίας, ένδειξη προηγμένου και επίμονου μηχανισμού διείσδυσης.
"Ο εισβολέας τροποποίησε τον πηγαίο κώδικα του open-source Chisel intranet penetration tool, κωδικοποίησε τις παραμέτρους εκτέλεσης, χρησιμοποίησε το καθορισμένο όνομα χρήστη και κωδικό πρόσβασης, δημιούργησε μια σύνδεση socks με το 443 end της καθορισμένης διεύθυνσης C&C και την αντιστοίχισε στην καθορισμένη θύρα του C&C host για να επιτύχει το intranet penetration function", είπαν οι ερευνητές.
Δείτε επίσης: Microsoft: Τέλος υποστήριξης για τα Exchange 2016 και 2019 τον Οκτώβριο του 2025
Η ομάδα αποκάλυψε επίσης ότι ο κακόβουλος κώδικας παραδίδεται μέσω ενός .NET loader, ο οποίος εγκαθίσταται εντός της υπηρεσίας IIS στον Microsoft Exchange Server. Η τεχνική αξιοποιεί ένα κρίσιμο zero-day exploit, που επιτρέπει στους εισβολείς να αποκτήσουν το machineKey, δίνοντάς τους τη δυνατότητα να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση στο σύστημα.
Χρησιμοποιώντας αυτό το κλειδί, οι επιτιθέμενοι προχώρησαν σε deserialization του Exchange Server, καταφέρνοντας να εγκαταστήσουν trojan σε οποιοδήποτε συμβατό σύστημα και να διαβάζουν εξ αποστάσεως τα περιεχόμενα του mailbox χωρίς να γίνονται αντιληπτοί.
Η QiAnXin υποστηρίζει ότι οι επιθέσεις μπορεί να προέρχονται από τη Βόρεια Αμερική.
Η υπόθεση NightEagle είναι καμπανάκι κινδύνου για τις επιχειρήσεις και τους οργανισμούς που δεν έχουν ακόμα ενισχύσει την παρακολούθηση συστημάτων email και την ανίχνευση μη εξουσιοδοτημένων ενεργειών στο intranet.
Δείτε επίσης: Κινέζοι hackers στοχεύουν τη Γαλλία μέσω zero-day ευπαθειών Ivanti
Πρέπει να λαμβάνονται προληπτικά μέτρα προστασίας. Οι οργανισμοί πρέπει να ενημερώνονται συνεχώς για τις τελευταίες απειλές κυβερνοασφάλειας και τις τεχνικές που χρησιμοποιούν οι επιτιθέμενοι.
Επιπλέον, είναι σημαντικό να υπάρχει ένα ισχυρό σύστημα ασφάλειας πληροφοριών που περιλαμβάνει τακτικά αναθεωρημένες πολιτικές και διαδικασίες ασφάλειας, καθώς και τη χρήση τεχνολογιών προστασίας από επιθέσεις. Η εφαρμογή των πιο πρόσφατων ενημερώσεων σε όλα τα συστήματα και τις εφαρμογές βοηθά στην αντιμετώπιση ευπαθειών, που θα μπορούσαν να εκμεταλλευτούν οι hackers.
Η εκπαίδευση του προσωπικού είναι εξίσου κρίσιμη. Το προσωπικό πρέπει να είναι ενήμερο για τις τρέχουσες απειλές και τρόπους προστασίας, καθώς και για τη σημασία της προστασίας των πληροφοριών του οργανισμού. Είναι σημαντικό να μπορεί κάποιος να αναγνωρίζει ύποπτα emails και μηνύματα, καθώς η μόλυνση συστημάτων γίνεται συχνά μέσω phishing.
Πηγή: thehackernews.com
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz