Angrepene har vært rettet mot statlige etater og energisektoren i flere asiatiske land, og involverte bruk av ondsinnede e-poster og teknikker for å omgå sikkerhetstiltak.
GeoServer er en åpen kildekode-server skrevet i Java, som gjør det mulig for brukere å dele, prosessere og redigere geospatiale data. Den støtter ulike dataformater og integreres med populære kartapplikasjoner som Google Maps og OpenLayers, noe som gjør den til et kraftig verktøy for webkartlegging og romlig datainfrastruktur. Dette rapporterte Cyber Security News.
Forskere fra Trend Micro har nylig oppdaget at kinesiske hackere aktivt utnytter sårbarheter for å distribuere en malware kjent som EAGLEDOOR.
Sårbarhet
Den kinesisk tilknyttede APT-gruppen «Earth Baxia» har målrettet seg mot statlige etater, telekommunikasjons- og energisektoren i APAC-land, inkludert Taiwan, Filippinene, Sør-Korea, Vietnam og Thailand.
Angrepsmetoden deres involverte spydfiske mot utvalgte e-poster med ondsinnede MSC-filer (RIPCOY) og utnyttelse av CVE-2024-36401, som er en fjernkjørings-sårbarhet i GeoServer. Infeksjonskjeden benyttet teknikker som AppDomainManager-injeksjon og GrimResource, og lastet ned skadelig programvare fra sky-tjenester som Amazon AWS og Aliyun.
Earth Baxia distribuerte tilpassede komponenter fra Cobalt Strike, inkludert en shellcode-laster kalt SWORDLDR og en ny bakdør kalt EAGLEDOOR. EAGLEDOOR støtter flere kommunikasjonsprotokoller (DNS, HTTP, TCP og appen Telegram), med lastelisten som bruker DLL-side-lasting (Systemsetting.dll og Systemsetting.exe). Bakdøren har funksjonalitet for API-hooking, som skjer via Hook.dll, og kjerneoperasjoner som utføres via Eagle.dll.
Les også: Google: Slik infiltrerer Kina USAs kritiske infrastruktur
I tillegg utnytter den Bot API-en til Telegram for kommando- og kontrollfunksjoner ved å bruke følgende metoder: getFile, getUpdates, sendDocument og sendMessage.
For å unngå oppdagelse og opprettholde vedvarende tilstedeværelse på kompromitterte systemer benyttet trusselaktørene obfuskeringsmetoder som Base64 og AES-kryptering, som står for Advanced Encryption Standard.
Som en del av gruppens eksfiltrasjonsprosess ble den innsamlede informasjonen arkivert, og curl.exe ble brukt til å laste opp de stjålne dataene til deres filserver (152.42.243.170). I tillegg var deres innledende tilgangsmetoder varierte, ved å bruke MSC- og LNK-filer for å levere ondsinnede verktøysett.
Her er ‘Static.krislab.site’ et av nettstedene som ble utnyttet for å spre «falske dokumenter» samt Cobalt Strike-komponenter, inkludert Edge.exe, msedge.dll, Logs.txt blant annet, ved hjelp av PowerShell-kommandoer. PowerShell er en Windows basert kommandolinjeterminal.
Forskerne viste tilpasningsevne ved å utnytte offentlige sky-tjenester for å være vert for ondsinnede filer og inkludere støtte for flere protokoller i EAGLEDOOR, noe som økte operasjonell kompleksitet.
Fremtiden til europeisk sikkerhet: Litauens erfaring med Kinas hybride taktikker 🔒