NightEagle APT Targets Microsoft Exchange
NightEagle APT تستغل ثغرة في Microsoft Exchange لاستهداف القطاعات العسكرية والتقنية في الصين
نظرة عامة على التهديد
كشفت تحليلات أمنية حديثة عن جهة تهديد جديدة تُعرف باسم NightEagle (أو APT-Q-95)، والتي تنشط منذ عام 2023، وتستهدف خوادم Microsoft Exchange ضمن سلسلة استغلال لثغرات يوم الصفر (Zero-Day). تُركّز هذه الهجمات على الجهات الحكومية، العسكرية، والتقنية داخل الصين.
السرعة والتكتيك المتطور
أشار فريق RedDrip إلى أن الجهة المهاجمة تتميّز بسرعة استثنائية في تبديل بنيتها التحتية الرقمية، وقد عُرضت نتائج هذه التحقيقات خلال معرض CYDES 2025 للدفاع السيبراني.
جاءت تسمية "NightEagle" نتيجة لسرعة المجموعة وعملها المكثف خلال ساعات الليل داخل الأراضي الصينية.
أهداف الهجوم
- قطاع الذكاء الاصطناعي
- التقنيات الكمية
- صناعات أشباه الموصلات
- الجهات العسكرية والحكومية
أداة Chisel المعدلة
بدأت التحقيقات الأمنية بعد العثور على نسخة مخصصة من أداة Chisel (مبنية بلغة Go) على جهاز تابع لإحدى الجهات المتضررة. كانت الأداة مهيأة لتعمل تلقائيًا كل أربع ساعات باستخدام مهمة مجدولة.
عدل المهاجمون الشيفرة المصدرية للأداة، وثبّتوا بيانات التشغيل داخليًا، وأنشأوا اتصال SOCKS مشفرًا عبر المنفذ 443 مع خادم القيادة والتحكم.
استغلال خوادم Exchange عبر IIS
توصّل التحليل إلى أن التروجان يتم تحميله عبر محمّل مبني بـ .NET يتم زرعه في خدمة IIS الخاصة بخوادم Microsoft Exchange.
كما تم اكتشاف ثغرة يوم الصفر سمحت للمهاجمين بالحصول على machineKey الخاص بالخادم، مما أتاح لهم تنفيذ عمليات deserialization لزرع تروجان والتحكم في البريد الإلكتروني لأي مستخدم ضمن الخادم المصاب.
التحليل الزمني للنشاط
الأنشطة الخبيثة سُجلت بين الساعة 9 مساءً وحتى 6 صباحًا بتوقيت بكين، ما دفع الباحثين للشك بضلوع جهة أجنبية قد تكون من أمريكا الشمالية وراء هذه الحملة.
استنتاج نهائي
تعكس هذه الهجمات مدى تطور NightEagle واعتمادها على تقنيات مخصصة لتجاوز الدفاعات. ومن المهم للمنظمات العاملة في القطاعات الحساسة تعزيز المراقبة والتحصين ضد هذا النوع من التهديدات المتقدمة.