Berita Rumah* Sebuah kelompok ancaman baru yang dikenal sebagai NightEagle (APT-Q-95) telah menargetkan server Microsoft Exchange di China menggunakan kerentanan zero-day.
Serangan siber fokus pada organisasi pemerintah, pertahanan, dan teknologi, terutama di sektor-sektor seperti semikonduktor, teknologi kuantum, Kecerdasan Buatan, dan penelitian militer.
NightEagle menggunakan versi modifikasi dari alat open-source Chisel, yang disampaikan melalui pemuat .NET kustom yang ditanamkan ke dalam Microsoft Internet Information Server (IIS).
Para penyerang memanfaatkan zero-day Exchange untuk mendapatkan kredensial kunci, memungkinkan akses tidak sah dan ekstraksi data dari server yang menjadi target.
Peneliti keamanan menyarankan bahwa aktor ancaman beroperasi pada malam hari di China dan mungkin berbasis di Amerika Utara, berdasarkan waktu serangan yang diamati.
Peneliti telah mengidentifikasi kelompok spionase siber yang sebelumnya tidak dikenal, NightEagle, yang secara aktif menargetkan server Microsoft Exchange di China. Aktor ancaman ini menggunakan rangkaian eksploitasi zero-day untuk menyusup ke organisasi di sektor pemerintah, pertahanan, dan teknologi canggih.
Iklan - Menurut Tim RedDrip QiAnXin, NightEagle telah menargetkan perusahaan-perusahaan di bidang seperti semikonduktor, teknologi kuantum, kecerdasan buatan, dan R&D militer. Grup ini telah beroperasi sejak 2023, bergerak cepat antara berbagai infrastruktur jaringan dan sering memperbarui metodenya.
Tim penelitian memulai penyelidikan mereka setelah menemukan versi kustom dari alat penetrasi Chisel di sistem pelanggan. Alat ini diatur untuk berjalan secara otomatis setiap empat jam. Analis menjelaskan dalam laporan mereka bahwa para penyerang mengubah alat Chisel yang bersumber terbuka, mengatur nama pengguna, kata sandi tetap, dan menghubungkan port tertentu antara jaringan yang terkompromi dan server perintah mereka.
Malware awal disampaikan melalui pemuat .NET, yang tertanam di Internet Information Server (IIS) dari server Exchange. Penyerang memanfaatkan cacat yang tidak diungkapkan—kerentanan zero-day—untuk mengambil kredensial machineKey server. Ini memungkinkan mereka untuk mendeserialisasi dan memuat malware tambahan ke dalam server Exchange versi yang kompatibel, memperoleh akses jarak jauh dan kemampuan untuk membaca data kotak surat.
Seorang juru bicara untuk QiAnXin menyatakan, "Sepertinya memiliki kecepatan elang dan telah beroperasi pada malam hari di China," merujuk pada jam operasional kelompok tersebut dan alasan penamaan. Berdasarkan pola aktivitas, penyelidik menduga NightEagle mungkin berbasis di Amerika Utara karena sebagian besar serangan terjadi antara pukul 9 malam dan 6 pagi waktu Beijing.
Temuan tersebut diumumkan di CYDES 2025, Pameran dan Konferensi Pertahanan Siber & Keamanan Nasional Malaysia. QiAnXin telah memberitahu Microsoft tentang penelitian tersebut untuk tindakan lebih lanjut.
Artikel Sebelumnya:
BRICS Akan Meluncurkan Dana Jaminan Multilateral di KTT Rio
Eurex Clearing Meluncurkan Solusi Jaminan Berbasis DLT untuk Margin
Pria Droitwich menghadapi 39 tuduhan penipuan atas pencurian amal senilai £206k
Bitcoin Mendekati Rekor Tinggi Saat RUU Pro-Kripto Masuk ke Kongres AS
Paus Bitcoin yang Tidur Pindahkan $3B Setelah 14 Tahun, Memicu Keresahan
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
NightEagle APT Menargetkan China Melalui Eksploitasi Zero-Day Exchange
Berita Rumah* Sebuah kelompok ancaman baru yang dikenal sebagai NightEagle (APT-Q-95) telah menargetkan server Microsoft Exchange di China menggunakan kerentanan zero-day.
Tim penelitian memulai penyelidikan mereka setelah menemukan versi kustom dari alat penetrasi Chisel di sistem pelanggan. Alat ini diatur untuk berjalan secara otomatis setiap empat jam. Analis menjelaskan dalam laporan mereka bahwa para penyerang mengubah alat Chisel yang bersumber terbuka, mengatur nama pengguna, kata sandi tetap, dan menghubungkan port tertentu antara jaringan yang terkompromi dan server perintah mereka.
Malware awal disampaikan melalui pemuat .NET, yang tertanam di Internet Information Server (IIS) dari server Exchange. Penyerang memanfaatkan cacat yang tidak diungkapkan—kerentanan zero-day—untuk mengambil kredensial machineKey server. Ini memungkinkan mereka untuk mendeserialisasi dan memuat malware tambahan ke dalam server Exchange versi yang kompatibel, memperoleh akses jarak jauh dan kemampuan untuk membaca data kotak surat.
Seorang juru bicara untuk QiAnXin menyatakan, "Sepertinya memiliki kecepatan elang dan telah beroperasi pada malam hari di China," merujuk pada jam operasional kelompok tersebut dan alasan penamaan. Berdasarkan pola aktivitas, penyelidik menduga NightEagle mungkin berbasis di Amerika Utara karena sebagian besar serangan terjadi antara pukul 9 malam dan 6 pagi waktu Beijing.
Temuan tersebut diumumkan di CYDES 2025, Pameran dan Konferensi Pertahanan Siber & Keamanan Nasional Malaysia. QiAnXin telah memberitahu Microsoft tentang penelitian tersebut untuk tindakan lebih lanjut.
Artikel Sebelumnya: