网络安全展重磅披露:高度隐匿APT组织“夜鹰”浮出水面,持续针对我国关键领域
在2025年马来西亚国家网络防御与安全展览与会议(Malaysia National Cyber Defence & Security Exhibition & Conference)上,奇安信集团下属的盘古团队披露了对一个高度活跃、隐匿性极强的APT组织——“夜鹰”(NightEagle)的长期追踪研究成果。该组织被奇安信内部编号为APT-Q-95,同时,国内另一安全厂商360也关注到该组织活动,将其编号为APT-C-78。其活动时间高度集中于北京时间晚21点至次日凌晨6点,目标直指我国高科技、军工等核心领域。
“夜鹰”组织特征:快、准、狠
据奇安信盘古团队在展会上的分享,“夜鹰”组织展现出当前顶尖APT攻击者的典型特征:
1. “快”速切换基础设施
组织资金雄厚,能够为每个攻击目标定制专属的恶意域名,并配备不断轮换解析的IP地址资源(主要指向美国运营商如DigitalOcean、Akamai等),攻击得手后迅速撤离并清除痕迹,行动极为敏捷。
2. “准”确锁定高价值目标
其主要攻击目标为我国高科技、芯片半导体、量子技术、人工智能与大模型、军工等领域的顶尖公司和单位,旨在窃取核心情报。其攻击目标选择还会根据地缘政治事件和我国产业发展(如AIGC大模型崛起)进行动态调整。
3. “狠”用未知漏洞与高级木马
该组织手握一套未知的Microsoft Exchange漏洞利用链武器。攻击者通过未知0day漏洞获取Exchange服务器的machineKey,利用反序列化漏洞实现远程植入木马并无限制读取任意人员邮箱数据,攻击持续近一年之久。此外,其驻留木马也极具隐蔽性,包括:
- 定制化Chisel木马: 修改开源Chisel工具,硬编码配置,通过计划任务定时执行,建立Socks代理实现内网穿透。
- 内存木马: 核心恶意代码注入Exchange服务器进程内存运行,不在磁盘落地,实现“无文件攻击”,绕过传统检测。其通过精心构造的.dll加载程序创建虚拟URL路径(如~/auth/lang/cn.aspx, ~/auth/lang/zh.aspx等),攻击者访问这些路径即可触发内存中的恶意功能。分析显示其针对中国目标时倾向于使用cn、zh等标识。
攻击流程清晰,驻留手段隐蔽
奇安信盘古团队通过其部署的天眼NDR系统捕获异常DNS请求(如伪装成群晖更新的synologyupdates.com)作为起点,结合AISOC自动化分析平台和天擎EDR深度检测,完整还原了“夜鹰”组织的攻击链条:
- 初始入侵: 利用未知Exchange 0day漏洞链获取服务器权限。
- 建立据点: 在受控主机部署定制Chisel木马,建立持久化(计划任务)和C2通道。
- 横向移动/权限提升: Chisel木马实现内网穿透后,攻击者进一步入侵Exchange服务器。
- 部署核心武器: 在Exchange服务器IIS服务中植入精心构造的.dll加载程序,为内存木马搭建“激活开关”(特定虚拟URL)。
- 窃密驻留: 通过构造特定请求访问虚拟URL,触发内存木马执行,实现长期、隐蔽的邮件数据窃取(攻击者尝试遍历多个Exchange版本以适配目标)。
- 清理痕迹: 任务完成后自动清除内存中的恶意代码。
多方协同,威胁情报驱动防御
“夜鹰”组织的揭露体现了威胁情报共享与协同防御的重要性。奇安信在展会上共享了该组织的IoC(失陷指标)和检测方案,旨在助力全球网络安全防御。360威胁情报中心也发布了相关的IoC信息(部分域名/IP与奇安信重合)和自查工具链接。
检测与防御建议
针对“夜鹰”组织的活动特征,企业和机构可采取以下措施:
01
检查可疑域名/IP连接: 监控内网主机对以下部分已知恶意域名/IP的请求(持续更新):
- 域名示例: synologyupdates.com, app.flowgw.com, comfyupdate.org, coremailtech.com, dashboard.daihou360.com, threatbookav.com 等(完整列表见奇安信/360公告)。
- IP示例:157.230.244.67, 167.99.67.40, 158.247.222.214 等。
02
深度检查Exchange服务器:
○ 检查C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Temporary ASP.NET Files\ews\目录下是否存在文件名包含cal、zh、cn或其他语言缩写+数字的异常.dll文件(如
App_Web_cn304.aspx.1221cc01.liuubjfz.dll)。
○ 审查C:\inetpub\logs\LogFiles\W3SVC
- 查找对特定路径的异常POST请求(如POST /owa/auth/logoff.aspx)。
- 识别异常User-Agent(如窃密使用的Microsoft+Office/16.0+(Microsoft+Outlook+Mail+16.0.6416;+Pro)或渗透使用的浏览器UA)。
03
利用专业工具: 可使用360提供的应急检测工具进行初步排查:
http://down.360safe.com/EmergencyDetect64 (注意:需专业人员操作)。更复杂的分析建议寻求奇安信等专业安全厂商支持。
04
加强整体防御: 部署融合NDR(网络检测响应)、EDR(端点检测响应)、威胁情报平台(TIP)和自动化响应(SOAR)的协同防御体系(如奇安信AISOC),提升对高级威胁的发现、防御和响应速度。
总结
“夜鹰”(NightEagle / APT-Q-95 / APT-C-78)组织的曝光再次警示我们,国家级APT攻击者正持续利用未知漏洞(0day)和高度定制化的攻击工具,针对我国关键信息基础设施和核心产业发动精准、隐蔽的窃密攻击。防御此类顶尖威胁,需要依赖高质量威胁情报的驱动、多维度安全数据的深度分析融合以及高效的自动化响应能力。马来西亚展会上的披露是安全社区协同应对全球性网络威胁的重要一步,持续关注权威安全厂商(如奇安信、360)发布的最新威胁情报和防护建议,是构建有效防御的关键。
(声明:本文信息综合整理自公开会议披露内容及相关安全厂商公告。)
来源:广西网盾信息安全
相关文章
-
网络安全展重磅披露:高度隐匿APT组织“夜鹰”浮出水面,持续针对我国关键领域
在2025年马来西亚国家网络防御与安全展览与会议(Malaysia National Cyber Defence & Security Exhibition & Conference)上,奇安信集团下属的盘古团队披露了对一个高度活跃、隐匿性极强的APT组织——“夜鹰”(NightEagle)的长期追
2025-07-04 15:41:00 -
专家分析美国突袭伊朗核设施:核谈判难恢复,对中东影响深远
当地时间6月21日,美国总统特朗普发文称,美国已完成对伊朗福尔多、纳坦兹和伊斯法罕三处核设施的袭击。美国为何改变以“文”谈判的方式,对伊朗动武?以伊局势走向如何?对此,6月22日,上海外国语大学中东研究所教授丁隆向南都记者分析认为,美国与伊朗的冲突矛盾延续了四十多年,但是从未直接交战,“美国突袭将导
2025-07-04 15:41:00 -
十年做到全球前十,珀莱雅能否如愿
站在百亿营收的节点,接棒的侯亚孟需要更多的成绩,立下的“十年挺进全球前十”目标正在徐徐展开,“招兵买马”是第一步。6月19日,北京商报记者获悉,珀莱雅任命有着诸多国际美妆巨头从业背景的汪奕峰担任产品开发负责人兼孵化品牌副总经理。在珀莱雅官方声音中,汪奕峰的到来,是珀莱雅想从营销驱动转向品牌驱动的发展
2025-07-04 15:41:00 -
我市今年高速公路项目建设提前实现“双过半”
来源:【新乡日报】6月10日,记者从市交通部门获悉,我市今年在建高速公路项目已完成投资15.6亿元,占年度投资任务的56.93%,提前实现时间、任务“双过半”目标。目前,全市在建高速公路项目累计完成投资217.89亿元,占总投资的91.58%。围绕5个在建高速公路项目今年年底通车目标,我市加大土源保
2025-07-04 15:41:00 -
聚焦八大工作目标 明确责任精准施策——湖北荆州农商银行组织召开全市农商银行2025年运营服务工作会
5月9日,湖北荆州农商银行组织召开全市农商银行2025年运营服务工作会。荆州农商银行党委委员、副行长辛明宏出席会议并讲话。会议解读了全市农商银行2025年运营服务工作意见,通报了全市农商银行2024年及2025年一季度电信诈骗“资金链”治理及现金全额清分情况、2024年反洗钱工作情况、2025年一季
2025-07-04 15:41:00 -
枣庄山亭:“五件实事”践初心 劳动节里党旗红
为弘扬劳动精神,凝聚发展合力,持续提升为民服务质效,“五一”期间,山亭区广大村(社区)开展“五件实事 情暖五一”活动,通过开展“致敬劳动者”走访慰问、“专家支招”农业技术指导、“践行初心 薪火相传”教育实践活动,召开“智汇乡村”村级发展座谈会、外出党员学习教育专题会议,充分发挥基层党组织战斗堡垒和党
2025-07-04 15:41:00 -
全国人大常委会法工委负责人就民营经济促进法答记者问
2025年4月30日,十四届全国人大常委会第十五次会议表决通过了《中华人民共和国民营经济促进法》,自2025年5月20日起施行。全国人大常委会法工委负责人就民营经济促进法有关问题回答了记者提问。问:改革开放以来,我国民营经济发展取得了历史性成就,在经济社会发展中发挥着重要作用。当前,制定出台民营经济
2025-07-04 15:41:00 -
中国神话具有鲜明的连续性
作者:黄景春(上海大学文学院教授,中国民俗学会副会长)近年来,中国神话受到广泛关注,在文旅、影视等多方面不断焕发新活力,其在当代社会扮演着越来越重要的角色。神话是关于天地开辟、人类诞生和文化起源的文学叙事。上古时代的神话不仅被当作真实发生的事情,还被认为具有定型社会的规范性力量,神话人物被奉为神明,
2025-07-04 15:41:00 -
小叶医探|五月启动!安徽将组织全省青年开展“无偿献血月”活动
大皖新闻讯以热血传递希望,用行动诠释担当。近日,安徽省卫健委和团省委联合印发《关于组织全省青年开展“无偿献血月”活动的通知》(以下简称《通知》),将组织全省青年开展以“皖美担当 奉献有我”为主题的无偿献血月活动,号召全省青年共同关注无偿献血、踊跃参与无偿献血。当前,血液供应处于“紧平衡”状态。事实上
2025-07-04 15:41:00 -
2025年全国普通高校招生考试安全工作视频会议召开
4月25日,教育部会同国家教育统一考试工作部际联席会议成员单位,召开2025年全国普通高校招生考试安全工作视频会议。会议指出,要提高政治站位,聚焦落实立德树人根本任务、严守教育公平底线、全面提高人才自主培养质量,充分发挥考试评价的导向作用,严格规范高考组织各个环节,优化完善识才选才机制办法,为实现中
2025-07-04 15:41:00
