北美APT利用Exchange零日漏洞攻击中国

西方高级持续性威胁（APT）组织正在利用Microsoft Exchange中一个未知的零日漏洞，从中国军事和主要科技行业窃取高价值情报。

在马来西亚举行的国家网络防御与安全展览会（CYDES）上，奇安信红雨滴团队的研究人员详细披露了一个长期存在的间谍攻击活动。攻击者被命名为"NightEagle Group"（APT-Q-95），该组织有入侵微软账户以监视中国关键机构的历史记录，目标包括芯片制造商、人工智能和量子技术公司、国防承包商等。

根据红雨滴团队的描述，在为期一年的攻击活动中，NightEagle似乎利用了Microsoft Exchange中的一个神秘漏洞，从未公开的组织中窃取了"所有关键目标邮件"。

利用MS Exchange窃取中国情报

攻击活动是在奇安信的网络检测与响应程序发现向域名"synologyupdates.com"发出异常DNS请求时被发现的。Synology是台湾网络附加存储（NAS）设备制造商，但并未注册"synologyupdates"域名。

传统的软件更新伪装隐藏了NightEagle的恶意软件：一个基于合法开源工具"Chisel"的定制变种。Chisel是用于在两台计算机之间创建加密隧道的程序，甚至能够穿透防火墙，使其在网络渗透中非常有用。NightEagle将其基于Golang的Chisel分支作为计划任务在目标系统中运行，创建了到其命令与控制（C2）基础设施的安全隧道。

攻击者通过未知手段使用此隧道与其目标的Exchange邮件服务器交互，并最终窃取了"machineKey"。machineKey存储在服务器配置文件中，用于加密和验证高度敏感的数据，如身份验证cookie和会话令牌。NightEagle利用这一关键信息使服务器运行其恶意代码。此时，它可以远程读取组织中任何人的邮件数据。

美国的进攻性网络行动

美国的自由媒体环境、蓬勃发展的网络安全行业（自然服务于更多西方客户，影响其在他地的可见性）、时区便利性、限制性的中国共产党政策以及无数其他因素共同导致互联网上充满了中国威胁行为者针对西方的故事，而相反叙述的故事很少。

这并不一定反映来自世界各地的网络攻击的真实平衡。红雨滴的研究人员通过对中国网络的可见性发现，他们关注的威胁行为者的工作时间 consistently 与美国太平洋时区典型的上午9点到下午6点的工作日一致。因此，他们将威胁行为者定位到北美西海岸，但没有明确其是美国还是加拿大。

Bambenek Consulting总裁John Bambenek表示，这并不令人震惊，因为"我们有明确执行此类任务的机构。通常，美国情报界专注于支持国家安全目标的传统间谍活动。NSA和美国网络司令部是这类活动的主要参与者，但进攻性网络能力存在于美国情报界的每个成员机构中。"

美国执行进攻性网络行动，并针对中国的半导体、人工智能和国防工业，这是可以预料的。更具争议的是其威胁行为者与技术行业的重叠。尽管美国政府没有中国那样的法律空白，可以在其境内开发的技术中植入后门，但过去曾尝试影响国内公司合作，取得了不同程度的成功。

反思微软在这个故事中的立场，Bambenek评估说：“硅谷不太可能为了支持美国而破坏自己的产品或故意忽视漏洞，简单原因是每次使用零日漏洞都会增加其被发现、逆向工程并被其他实体使用的可能性。”