近期,网络安全领域曝光了一起令人警惕的攻击事件:夜鹰(NightEagle,内部编号APT-Q-95 )APT组织针对中国军工与科技领域发动了恶意攻击,其利用微软Exchange漏洞,对我国关键信息安全造成了严重威胁。该发现由奇安信红雨滴团队经过长期追踪调查所得,并在2025年第三届马来西亚国家网络防御与安全展览会(CYDES 2025)上正式公布。
夜鹰组织自2023年起便开始活跃,行动诡秘,且具备强大的技术能力与资源储备。其被命名为“夜鹰”,正是因为其行动速度极快,并且主要在中国夜间时段展开攻击活动,给防御工作带来极大挑战。在网络攻击手段上,夜鹰组织拥有雄厚资金购置大量网络资产,如VPS服务器、域名等,且针对每个攻击目标,都会使用单独的攻击域名,同时配备不断更迭的IP资源进行解析,以便在攻击得手后迅速撤离并消除痕迹。
此次夜鹰组织攻击的核心是利用微软Exchange服务器漏洞,且利用的是一套未知的Exchange漏洞利用链。攻击者通过未知0day漏洞获取Exchange服务器的machineKey。凭借这一关键密钥,攻击者可对Exchange服务器进行反序列化操作,进而实现在符合版本要求的任意服务器上植入木马程序,并能够远程读取任意人员的邮箱数据。值得注意的是,由于攻击者并不知晓目标内网Exchange的具体版本,他们几乎尝试了市面上所有版本号,经过多次遍历才最终锁定目标版本,体现出其攻击行为的针对性与耐心。
奇安信团队对夜鹰组织攻击流程的追踪始于一次异常检测。奇安信天眼NDR系统QAX - GPT捕获到异常DNS请求,请求域名为synologyupdates.com,该域名伪装成NAS服务商群晖。通过奇安信威胁情报平台查询显示,该域名在未使用期间,DNS服务器会将其解析到127.0.0.1或者192.168.1.1等局域网IP,以此避免真正的服务器IP暴露。而客户部署的奇安信AISOC自动化分析发现,该域名在内网中有大量解析请求,且每四小时请求一次DNS解析,这触发了安全警报。
经过深入分析,安全团队定位到内网中解析该域名的受控主机,并在其中发现名为SynologyUpdate.exe的进程,经鉴定,该进程为定制化的Go语言编译的Chisel家族木马。攻击者修改了开源Chisel内网穿透工具源代码,硬编码配置执行参数,使用指定用户名与密码,与指定C&C地址的443端口建立Socks连接,从而实现内网穿透功能,以便进一步渗透攻击。同时,攻击者还建立了每4个小时启动木马的计划任务,确保木马程序能够持续运行。
进一步调查发现,客户单位内网的Exchange邮服与该受控主机进行过交互,基于此交互模式,安全团队发现了夜鹰组织独有的内存木马。该内存木马不会在磁盘内落地,而是注入Exchange服务器进程内存中运行,以此避免被传统杀毒软件或检测工具发现,目前相关样本仍处于免杀状态。由于攻击者结束攻击后会自动清除内存中的木马程序,安全团队未能获取内存木马样本,但通过天擎EDR的磁盘检测功能,获取到了内存木马的加载程序。
该加载程序被命名为App_Web_cn*.dll,是攻击者植入Exchange服务器IIS服务中的Payload代码产生的ASP.NET预编译DLL文件,由.NET语言编写,具有固定格式的代码结构和函数命名。内存木马加载程序运行后,会创建~/auth/lang/cn*.aspx(*一般是数字)格式的虚拟URL目录。攻击者通过请求该虚拟URL目录,即可触发执行内存木马程序。当内存木马程序接收到指定虚拟URL目录请求后,会在Exchange服务器IIS服务已加载程序集中搜索内存木马.NET程序集“App_Web_Container_1” ,找到该程序集后,在当前程序集中搜索恶意功能类“App_Web_8c9b251fb5b3”,最后调用该类中的主体功能函数,完成恶意操作。
在样本分析过程中,研究人员发现攻击者针对中国攻击时,通常会使用WEB目录/owa/auth/路径下的子文件夹与文件来创建虚拟URL目录,如~/auth/lang/cn.aspx、~/auth/lang/zh.aspx等,包含很多与中国相关的语言信息标识,而攻击其他国家时可能会采用不同的标识或随机路径。
夜鹰组织的攻击目标主要集中在我国高科技、芯片半导体、量子技术、人工智能与大模型、军工等行业顶尖公司和单位,目的是以窃取情报为主。其攻击目标的选择并非随意,而是会根据地缘政治事件的发生以及我国产业发展情况进行动态调整。例如,自我国AI大模型产业崛起后,该组织就持续针对我国大模型落地应用行业进行针对性攻击,并且利用了多个大模型相关系统的漏洞。
根据攻击活动主要集中在北京时间晚9点至次日凌晨6点的规律,奇安信认为该威胁组织很可能来自北美地区。微软目前尚未对Exchange服务器漏洞问题作出回复。此次夜鹰APT组织利用微软Exchange漏洞攻击我国军工与科技领域事件,为我国网络安全防御敲响了警钟。相关机构和企业需加强对微软Exchange服务器的安全防护,及时关注安全动态,更新安全补丁,同时强化网络安全监测与应急响应机制,以应对此类高级威胁攻击。