Istraživači u oblasti informacionе bezbednosti otkrili su novu pretnju poznatu kao NightEagle APT, grupu za napade sa ciljanim uhođenjem, koja aktivno iskorišćava nepoznatu ranjivost u Microsoft Exchange serverima. Ova ranjivost, klasifikovana kao “zero-day”, omogućava grupi da kompromituje sisteme i ugrozi kritične sektore.
NightEagle APT je identifikovan kako cilja vladine organizacije, odbrambene institucije i tehnološke kompanije, sa posebnim naglaskom na entitete povezane sa Kinom. Cilj ovih napada najvjerovatnije je prikupljanje obavještajnih podataka, špijunaža i potencijalno sabotiranje operacija.
Upozorenje o ovoj aktivnosti objavljeno je na mreži X, gdje je jedna od firmi za bezbjednost, Mandiant, podijelila svoje nalaze. Njihovo detaljno izvješće opisuje složenu metodologiju koju NightEagle APT koristi, a koja uključuje kombinaciju sofisticiranih tehnika za infiltraciju i perzistenciju u kompromitovanim mrežama.
Metodologija napada obuhvata iskorištavanje ranjivosti u Microsoft Exchange-u kako bi se stekao početni pristup. Nakon što se infiltriraju, napadači postavljaju tzv. “backdoor” programe, koji im omogućavaju daljinski pristup i kontrolu nad zaraženim sistemima. Ovi backdoor-i su obično skriveni i dizajnirani tako da izbjegavaju otkrivanje od strane standardnih sigurnosnih rješenja.
Iako se u izvještaju ne navodi konkretan metod kojim se žrtve “mame” u smislu početnog ubacivanja zlonamjernog softvera, često u sličnim scenarijima, napadači koriste tehnike socijalnog inženjeringa. To može uključivati ciljane phishing e-mailove koji sadrže zlonamjerne linkove ili priloge, ili pak manipulisanje legitimnim komunikacijskim kanalima kako bi uvjerili korisnike da izvrše određenu radnju koja bi omogućila napadačima pristup.
Jedan od ključnih aspekata ove pretnje je njena usmjerenost na važne nacionalne sektore, što ukazuje na mogući državni sponzorstvo ili podršku. S obzirom na prirodu ciljeva – vladine i odbrambene institucije – vjerovatno je da grupa nastoji pribaviti osjetljive informacije koje bi mogle imati značajan geopolitički uticaj. Tehnički sektor je takođe na meti, što može biti dio strategije za krađu intelektualne svojine ili špijuniranje tehnološkog napretka.
Preporuke za povećanje bezbjednosti uključuju hitno ažuriranje svih Microsoft Exchange servera na najnovije sigurnosne zakrpe, kao i implementaciju naprednih rješenja za detekciju i odgovor na prijetnje (EDR). Takođe, edukacija zaposlenih o prepoznavanju potencijalnih phishing pokušaja i drugim oblicima socijalnog inženjeringa ostaje ključna u izgradnji otpornosti na ovakve napade.
