夜鹰APT组织利用微软Exchange漏洞攻击分析报告

一、组织概况

组织名称：夜鹰(NightEagle, APT-Q-95)
活跃时间：自2023年开始活跃
攻击目标：主要针对中国政府、国防军工、高科技、芯片半导体、量子技术、人工智能和军事领域实体机构
核心目的：窃取敏感情报
活动特征：主要在中国夜间时段(北京时间晚9点至次日凌晨6点)活动
地理位置推测：根据攻击时间特征，很可能来自北美地区

二、攻击技术分析

1. 攻击链特征

利用微软Exchange服务器漏洞实施攻击
攻击链包含零日漏洞利用
网络基础设施更换速度极快

2. 定制化攻击工具

主要工具：定制版的Go语言工具Chisel
工具修改：

修改了开源内网穿透工具Chisel的源代码
硬编码执行参数
使用指定用户名密码
与指定C&C地址的443端口建立socks连接
映射到C&C主机的指定端口实现内网穿透功能

部署方式：

被配置为计划任务，每四小时自动启动一次
通过.NET加载器投递木马程序
加载器被植入微软Exchange服务器的IIS服务中

3. 零日漏洞利用细节

漏洞利用方式：

获取machineKey
利用该密钥对Exchange服务器进行反序列化操作
在符合版本的服务器上植入木马
远程读取任意人员的邮箱数据

三、防御建议

1. 漏洞防护措施

及时更新微软Exchange服务器补丁
监控IIS服务异常行为
定期检查服务器machineKey配置

2. 网络监测

监控443端口的异常socks连接
关注内网穿透行为
特别关注夜间时段的异常网络活动

3. 终端防护

检查计划任务中可疑的Chisel或类似工具
监控.NET加载器的异常行为
对Go语言编写的工具进行特别审查

4. 日志分析

加强Exchange服务器日志收集和分析
关注反序列化操作日志
建立异常行为基线

四、事件响应建议

发现可疑活动时立即隔离受影响系统
检查所有Exchange服务器的完整性
重置所有相关凭据和密钥
进行全面的网络取证分析
上报国家相关网络安全部门

五、参考资源

CYDES 2025会议披露内容
奇安信红雨滴团队完整报告
微软Exchange安全公告(待发布)

六、法律声明

本报告仅供网络安全防御参考使用，任何组织或个人不得将其用于非法用途。防御措施实施前请确保符合《中华人民共和国网络安全法》及相关法律法规要求。

夜鹰APT组织利用微软Exchange漏洞攻击分析报告一、组织概况组织名称：夜鹰(NightEagle, APT-Q-95) 活跃时间：自2023年开始活跃攻击目标：主要针对中国政府、国防军工、高科技、芯片半导体、量子技术、人工智能和军事领域实体机构核心目的：窃取敏感情报活动特征：主要在中国夜间时段(北京时间晚9点至次日凌晨6点)活动地理位置推测：根据攻击时间特征，很可能来自北美地区二、攻击技术分析 1. 攻击链特征利用微软Exchange服务器漏洞实施攻击攻击链包含零日漏洞利用网络基础设施更换速度极快 2. 定制化攻击工具主要工具：定制版的Go语言工具Chisel 工具修改：修改了开源内网穿透工具Chisel的源代码硬编码执行参数使用指定用户名密码与指定C&C地址的443端口建立socks连接映射到C&C主机的指定端口实现内网穿透功能部署方式：被配置为计划任务，每四小时自动启动一次通过.NET加载器投递木马程序加载器被植入微软Exchange服务器的IIS服务中 3. 零日漏洞利用细节漏洞利用方式：获取machineKey 利用该密钥对Exchange服务器进行反序列化操作在符合版本的服务器上植入木马远程读取任意人员的邮箱数据三、防御建议 1. 漏洞防护措施及时更新微软Exchange服务器补丁监控IIS服务异常行为定期检查服务器machineKey配置 2. 网络监测监控443端口的异常socks连接关注内网穿透行为特别关注夜间时段的异常网络活动 3. 终端防护检查计划任务中可疑的Chisel或类似工具监控.NET加载器的异常行为对Go语言编写的工具进行特别审查 4. 日志分析加强Exchange服务器日志收集和分析关注反序列化操作日志建立异常行为基线四、事件响应建议发现可疑活动时立即隔离受影响系统检查所有Exchange服务器的完整性重置所有相关凭据和密钥进行全面的网络取证分析上报国家相关网络安全部门五、参考资源 CYDES 2025会议披露内容奇安信红雨滴团队完整报告微软Exchange安全公告(待发布) 六、法律声明本报告仅供网络安全防御参考使用，任何组织或个人不得将其用于非法用途。防御措施实施前请确保符合《中华人民共和国网络安全法》及相关法律法规要求。