網絡安全展重磅披露：

　　高度隱匿APT組織“夜鷹”浮出水面，持續針對我國關鍵領域

　　在2025年馬來西亞國家網絡防御與安全展覽與會議(Malaysia National Cyber Defence & Security Exhibition & Conference)上，奇安信集團下屬的盤古團隊披露了對一個高度活躍、隱匿性極強的APT組織——“夜鷹”(NightEagle)的長期追蹤研究成果。該組織被奇安信內部編號為APT-Q-95，同時，國內另一安全廠商360也關注到該組織活動，將其編號為APT-C-78。其活動時間高度集中于北京時間晚21點至次日凌晨6點，目標直指我國高科技、軍工等核心領域。

　　“夜鷹”組織特征：快、準、狠

　　據奇安信盤古團隊在展會上的分享，“夜鷹”組織展現出當前頂尖APT攻擊者的典型特征：

　　1. “快”速切換基礎設施

　　組織資金雄厚，能夠為每個攻擊目標定制專屬的惡意域名，并配備不斷輪換解析的IP地址資源(主要指向美國運營商如DigitalOcean、Akamai等)，攻擊得手后迅速撤離并清除痕跡，行動極為敏捷。

　　2. “準”確鎖定高價值目標

　　其主要攻擊目標為我國高科技、芯片半導體、量子技術、人工智能與大模型、軍工等領域的頂尖公司和單位，旨在竊取核心情報。其攻擊目標選擇還會根據地緣政治事件和我國產業發展(如AIGC大模型崛起)進行動態調整。

　　3. “狠”用未知漏洞與高級木馬

　　該組織手握一套未知的Microsoft Exchange漏洞利用鏈武器。攻擊者通過未知0day漏洞獲取Exchange服務器的machineKey，利用反序列化漏洞實現遠程植入木馬并無限制讀取任意人員郵箱數據，攻擊持續近一年之久。此外，其駐留木馬也極具隱蔽性，包括：

　　定制化Chisel木馬： 修改開源Chisel工具，硬編碼配置，通過計劃任務定時執行，建立Socks代理實現內網穿透。

　　內存木馬： 核心惡意代碼注入Exchange服務器進程內存運行，不在磁盤落地，實現“無文件攻擊”，繞過傳統檢測。其通過精心構造的.dll加載程序創建虛擬URL路徑(如~/auth/lang/cn.aspx, ~/auth/lang/zh.aspx等)，攻擊者訪問這些路徑即可觸發內存中的惡意功能。分析顯示其針對中國目標時傾向于使用cn、zh等標識。

　　攻擊流程清晰，駐留手段隱蔽

　　奇安信盤古團隊通過其部署的天眼NDR系統捕獲異常DNS請求(如偽裝成群暉更新的synologyupdates.com)作為起點，結合AISOC自動化分析平臺和天擎EDR深度檢測，完整還原了“夜鷹”組織的攻擊鏈條：

　　初始入侵： 利用未知Exchange 0day漏洞鏈獲取服務器權限。

　　建立據點： 在受控主機部署定制Chisel木馬，建立持久化(計劃任務)和C2通道。

　　橫向移動/權限提升： Chisel木馬實現內網穿透后，攻擊者進一步入侵Exchange服務器。

　　部署核心武器： 在Exchange服務器IIS服務中植入精心構造的.dll加載程序，為內存木馬搭建“激活開關”(特定虛擬URL)。

　　竊密駐留： 通過構造特定請求訪問虛擬URL，觸發內存木馬執行，實現長期、隱蔽的郵件數據竊取(攻擊者嘗試遍歷多個Exchange版本以適配目標)。

　　清理痕跡： 任務完成后自動清除內存中的惡意代碼。

　　多方協同，威脅情報驅動防御

　　“夜鷹”組織的揭露體現了威脅情報共享與協同防御的重要性。奇安信在展會上共享了該組織的IoC(失陷指標)和檢測方案，旨在助力全球網絡安全防御。360威脅情報中心也發布了相關的IoC信息(部分域名/IP與奇安信重合)和自查工具鏈接。

　　檢測與防御建議

　　針對“夜鷹”組織的活動特征，企業和機構可采取以下措施：

　　01

　　檢查可疑域名/IP連接： 監控內網主機對以下部分已知惡意域名/IP的請求(持續更新)：

　　域名示例： synologyupdates.com, app.flowgw.com, comfyupdate.org, coremailtech.com, dashboard.daihou360.com, threatbookav.com 等(完整列表見奇安信/360公告)。

　　IP示例：157.230.244.67, 167.99.67.40, 158.247.222.214 等。

02

　　深度檢查Exchange服務器：

　　○ 檢查C:WindowsMicrosoft.NETFramework64v4.0.30319Temporary ASP.NET Filesews目錄下是否存在文件名包含cal、zh、cn或其他語言縮寫+數字的異常.dll文件(如App_Web_cn304.aspx.1221cc01.liuubjfz.dll)。

　　○ 審查C:inetpublogsLogFilesW3SVC下的IIS日志：

　　查找對特定路徑的異常POST請求(如POST /owa/auth/logoff.aspx)。

　　識別異常User-Agent(如竊密使用的Microsoft+Office/16.0+(Microsoft+Outlook+Mail+16.0.6416;+Pro)或滲透使用的瀏覽器UA)。

03

　　利用專業工具： 可使用360提供的應急檢測工具進行初步排查：http://down.360safe.com/EmergencyDetect64 (注意：需專業人員操作)。更復雜的分析建議尋求奇安信等專業安全廠商支持。

　　04

　　加強整體防御： 部署融合NDR(網絡檢測響應)、EDR(端點檢測響應)、威脅情報平臺(TIP)和自動化響應(SOAR)的協同防御體系(如奇安信AISOC)，提升對高級威脅的發現、防御和響應速度。

　　總結

　　“夜鷹”(NightEagle / APT-Q-95 / APT-C-78)組織的曝光再次警示我們，國家級APT攻擊者正持續利用未知漏洞(0day)和高度定制化的攻擊工具，針對我國關鍵信息基礎設施和核心產業發動精準、隱蔽的竊密攻擊。防御此類頂尖威脅，需要依賴高質量威脅情報的驅動、多維度安全數據的深度分析融合以及高效的自動化響應能力。馬來西亞展會上的披露是安全社區協同應對全球性網絡威脅的重要一步，持續關注權威安全廠商(如奇安信、360)發布的最新威脅情報和防護建議，是構建有效防御的關鍵。

　　(聲明：本文信息綜合整理自公開會議披露內容及相關安全廠商公告。)