La société de cybersécurité Qianxin relie un groupe APT basé en Amérique du Nord à l’espionnage à long terme ciblant les industries de l’IA, du semi-conducteur et des militaires de la Chine grâce à un exploit d’échange zéro-jour.
Un groupe de menaces persistantes avancées (APT), «Nighteagle», a été trouvée ciblant le gouvernement chinois et les secteurs critiques en utilisant un défaut de Microsoft échange de Microsoft non identifié.
Selon une découverte faite par Reddrip, l’unité de renseignement des menaces de la société chinoise de la société Qianxin, le groupe de menaces a compromis les serveurs d’échange Microsoft via une chaîne d’exploitation sophistiquée de zéro-jours pour voler des données confidentielles sur la boîte aux lettres.
« Depuis 2023, Qianxin suit en permanence un groupe APT supérieur qui détient une chaîne d’exploitation de vulnérabilité d’échange inconnue et dispose d’un fonds substantiel pour acheter une grande quantité d’actifs réseau, tels que les serveurs VPS et les noms de domaine », a déclaré les chercheurs de Reddrip dans un rapport. «Ce groupe a longtemps ciblé les meilleures entreprises et institutions dans les semi-conducteurs de haute technologie en Chine, la technologie quantique, l’intelligence artificielle et les modèles de grande langue, l’industrie militaire et d’autres domaines des cyberattaques.»
Les chercheurs ont déclaré avoir nommé le groupe NightEagle pour ses opérations rapides et ses activités constantes pendant les heures de nuit.
Échangez zéro-jour contre IIS Hijack
Selon l’analyse, Nigheagle exploite une vulnérabilité zéro-jour non identifiée dans l’échange de Microsoft pour récolter la clé Machine, permettant la désérialisation non autorisée et l’accès de base. Cela permet aux attaquants d’implanter un chargeur .NET au sein du service d’information Internet (IIS) de Microsoft, permettant un accès à distance à distance.
« Après une analyse complète des activités d’attaque du groupe NightEagle, nous avons constaté qu’il possède un ensemble complet d’armes de chaîne d’exploitation de vulnérabilité d’échange inconnu », ont déclaré les chercheurs. «Cependant, à l’heure actuelle, nous n’avons obtenu que le processus dans lequel les attaquants obtiennent la clé par des moyens inconnus, puis volent des données d’échange.»
La MachineKey accessible est cruciale dans les applications .NET et ASP.NET comme Exchange, utilisées pour signer et valider les jetons d’authentification, les cookies et les données cryptées. Une fois qu’ils avaient la touche de machine, les attaquants ont envoyé une charge utile fabriquée qui, lorsqu’il est désérialisé par le serveur Exchange, a conduit à l’exécution du code distant (RCE).
Le RCE visait principalement à accéder et à exfiltrant le contenu de la boîte aux lettres, y compris éventuellement des pièces jointes, des communications internes et une correspondance commerciale sensible. Les requêtes envoyées à Microsoft pour des commentaires sur l’exploit présumé du jour zéro sont restées sans réponse.
Les attaquants ont poursuivi une persistance furtive
Après l’exploitation réussie du zéro-jour, les attaquants déploient une version modifiée par GO de Chisel, un outil de tunneling de chaussettes open source, le planifiant pour fonctionner toutes les quatre heures et établir des tunnels secrètes à leurs serveurs C2.
Cela leur a permis d’aller et de sortir du réseau quand ils le voulaient, permettant de la persistance pendant plus d’un an, même après le nettoyage des infections initiales.
« Nous avons trouvé à travers le temps d’atterrissage du malware du ciseau et le temps de trafic d’attaque sauvé par l’EDR que le temps d’attaque était de 21 h à 6 heures du matin », ont déclaré les chercheurs. «Les heures de travail de ce groupe ont été très fixes, et ils n’ont jamais travaillé sur les heures supplémentaires ni volé des données après les heures de travail. Sur la base de l’analyse du fuseau horaire, nous pensons que le groupe est issu d’un pays en Amérique du Nord.» L’enregistrement du domaine par le groupe a suggéré que les cibles de Nighteagle se déplacent en réponse aux développements géopolitiques, tels que le lancement d’attaques contre des secteurs chinois en utilisant de grands modèles d’IA à mesure que les marchés d’IA du pays se développent, ont noté les chercheurs.
