Istraživači iz oblasti sajberbezbjednosti otkrili su novu prijetnju u vidu napredne perzistentne grupe (APT) pod nazivom “NightEagle”. Ova grupa uspješno eksploatiše ranjivost nultog dana u Microsoft Exchange serverima, ciljajući ključne sektore poput vladinih institucija, odbrambene industrije i tehnološkog sektora. Prema izvještajima, primarna meta ovih napada usmjerena je na kineske organizacije unutar navedenih sektora, što ukazuje na sofisticiranu operaciju sa jasno definisanim strateškim ciljevima.
Upozorenje je objavljeno putem zvaničnog bloga kompanije SentinelOne, gdje su detaljno opisane karakteristike i metode koje NightEagle koristi. Grupa je aktivna od sredine 2023. godine, a njeni napadi su sve sofisticiraniji, što potvrđuje i nedavno otkrivena eksploatacija Microsoft Exchange servera. Ovim napadom, NightEagle je u mogućnosti da stekne neovlašćeni pristup osjetljivim podacima i potencijalno ugrozi nacionalnu sigurnost zemalja koje su na meti.
Metodologija napada počinje izradom ciljanih phishing mejlova koji sadrže zlonamjerne priloge ili linkove. Kada žrtva klikne na link ili otvori prilog, na njen sistem se instalira malver koji omogućava NightEagle grupi da uspostavi postojano prisustvo. Nakon inicijalne infekcije, APT grupa koristi legitimne alate i tehnike kako bi se prikrila u mrežnom prometu i izbjegla otkrivanje od strane sigurnosnih sistema. Takođe, koriste se ranjivosti u softveru kako bi se proširila zaraza na druge sisteme unutar organizacije.
Jedan od ključnih elemenata njihovog uspjeha leži u sposobnosti prilagođavanja i korištenja novootkrivenih ranjivosti, poput one u Microsoft Exchange serverima. Ovo im omogućava da zaobiđu postojeće sigurnosne mjere i dobiju neograničen pristup ciljanim sistemima. Prikupljeni podaci se potom koriste za daljnje operacije ili se prodaju na crnom tržištu. SentinelOne je naglasio potrebu za hitnim ažuriranjem svih Microsoft Exchange servera i pojačanim mjerama nadzora kako bi se spriječili budući napadi.