网络安全展重磅披露:高度隐匿APT组织“夜鹰”浮出水面,持续针对我国关键领域

来源: 广西网盾信息安全 2025-07-04 14:59:34 我来说说 阅读

  网络安全展重磅披露:

  高度隐匿APT组织“夜鹰”浮出水面,持续针对我国关键领域

  在2025年马来西亚国家网络防御与安全展览与会议(Malaysia National Cyber Defence & Security Exhibition & Conference)上,奇安信集团下属的盘古团队披露了对一个高度活跃、隐匿性极强的APT组织——“夜鹰”(NightEagle)的长期追踪研究成果。该组织被奇安信内部编号为APT-Q-95,同时,国内另一安全厂商360也关注到该组织活动,将其编号为APT-C-78。其活动时间高度集中于北京时间晚21点至次日凌晨6点,目标直指我国高科技、军工等核心领域。

  “夜鹰”组织特征:快、准、狠

  据奇安信盘古团队在展会上的分享,“夜鹰”组织展现出当前顶尖APT攻击者的典型特征:

  1. “快”速切换基础设施

  组织资金雄厚,能够为每个攻击目标定制专属的恶意域名,并配备不断轮换解析的IP地址资源(主要指向美国运营商如DigitalOcean、Akamai等),攻击得手后迅速撤离并清除痕迹,行动极为敏捷。

  2. “准”确锁定高价值目标

  其主要攻击目标为我国高科技、芯片半导体、量子技术、人工智能与大模型、军工等领域的顶尖公司和单位,旨在窃取核心情报。其攻击目标选择还会根据地缘政治事件和我国产业发展(如AIGC大模型崛起)进行动态调整。

  3. “狠”用未知漏洞与高级木马

  该组织手握一套未知的Microsoft Exchange漏洞利用链武器。攻击者通过未知0day漏洞获取Exchange服务器的machineKey,利用反序列化漏洞实现远程植入木马并无限制读取任意人员邮箱数据,攻击持续近一年之久。此外,其驻留木马也极具隐蔽性,包括:

  定制化Chisel木马: 修改开源Chisel工具,硬编码配置,通过计划任务定时执行,建立Socks代理实现内网穿透。

  内存木马: 核心恶意代码注入Exchange服务器进程内存运行,不在磁盘落地,实现“无文件攻击”,绕过传统检测。其通过精心构造的.dll加载程序创建虚拟URL路径(如~/auth/lang/cn.aspx, ~/auth/lang/zh.aspx等),攻击者访问这些路径即可触发内存中的恶意功能。分析显示其针对中国目标时倾向于使用cn、zh等标识。

  攻击流程清晰,驻留手段隐蔽

  奇安信盘古团队通过其部署的天眼NDR系统捕获异常DNS请求(如伪装成群晖更新的synologyupdates.com)作为起点,结合AISOC自动化分析平台和天擎EDR深度检测,完整还原了“夜鹰”组织的攻击链条:

  初始入侵: 利用未知Exchange 0day漏洞链获取服务器权限。

  建立据点: 在受控主机部署定制Chisel木马,建立持久化(计划任务)和C2通道。

  横向移动/权限提升: Chisel木马实现内网穿透后,攻击者进一步入侵Exchange服务器。

  部署核心武器: 在Exchange服务器IIS服务中植入精心构造的.dll加载程序,为内存木马搭建“激活开关”(特定虚拟URL)。

  窃密驻留: 通过构造特定请求访问虚拟URL,触发内存木马执行,实现长期、隐蔽的邮件数据窃取(攻击者尝试遍历多个Exchange版本以适配目标)。

  清理痕迹: 任务完成后自动清除内存中的恶意代码。

  多方协同,威胁情报驱动防御

  “夜鹰”组织的揭露体现了威胁情报共享与协同防御的重要性。奇安信在展会上共享了该组织的IoC(失陷指标)和检测方案,旨在助力全球网络安全防御。360威胁情报中心也发布了相关的IoC信息(部分域名/IP与奇安信重合)和自查工具链接。

  检测与防御建议

  针对“夜鹰”组织的活动特征,企业和机构可采取以下措施:

  01

  检查可疑域名/IP连接: 监控内网主机对以下部分已知恶意域名/IP的请求(持续更新):

  域名示例: synologyupdates.com, app.flowgw.com, comfyupdate.org, coremailtech.com, dashboard.daihou360.com, threatbookav.com 等(完整列表见奇安信/360公告)。

  IP示例:157.230.244.67, 167.99.67.40, 158.247.222.214 等。

02

  深度检查Exchange服务器:

  ○ 检查C:WindowsMicrosoft.NETFramework64v4.0.30319Temporary ASP.NET Filesews目录下是否存在文件名包含cal、zh、cn或其他语言缩写+数字的异常.dll文件(如App_Web_cn304.aspx.1221cc01.liuubjfz.dll)。

  ○ 审查C:inetpublogsLogFilesW3SVC下的IIS日志:

  查找对特定路径的异常POST请求(如POST /owa/auth/logoff.aspx)。

  识别异常User-Agent(如窃密使用的Microsoft+Office/16.0+(Microsoft+Outlook+Mail+16.0.6416;+Pro)或渗透使用的浏览器UA)。

03

  利用专业工具: 可使用360提供的应急检测工具进行初步排查:http://down.360safe.com/EmergencyDetect64 (注意:需专业人员操作)。更复杂的分析建议寻求奇安信等专业安全厂商支持。

  04

  加强整体防御: 部署融合NDR(网络检测响应)、EDR(端点检测响应)、威胁情报平台(TIP)和自动化响应(SOAR)的协同防御体系(如奇安信AISOC),提升对高级威胁的发现、防御和响应速度。

  总结

  “夜鹰”(NightEagle / APT-Q-95 / APT-C-78)组织的曝光再次警示我们,国家级APT攻击者正持续利用未知漏洞(0day)和高度定制化的攻击工具,针对我国关键信息基础设施和核心产业发动精准、隐蔽的窃密攻击。防御此类顶尖威胁,需要依赖高质量威胁情报的驱动、多维度安全数据的深度分析融合以及高效的自动化响应能力。马来西亚展会上的披露是安全社区协同应对全球性网络威胁的重要一步,持续关注权威安全厂商(如奇安信、360)发布的最新威胁情报和防护建议,是构建有效防御的关键。

  (声明:本文信息综合整理自公开会议披露内容及相关安全厂商公告。)

责任编辑:申蓉群