23 de septiembre de 2024Ravie Lakshmanan Ciberespionaje/Malware
Una amenaza persistente avanzada (APT) que se cree que se origina en China ha explotado una falla de seguridad crítica recientemente reparada que afectaba a OSGeo GeoServer GeoTools para atacar a agencias gubernamentales en Taiwán y posiblemente a otros países de la región de Asia-Pacífico (APAC).
La actividad de intrusión detectada por Trend Micro en julio de 2024 se ha atribuido a un actor de amenazas conocido como Earth Baxia.
“Según los correos electrónicos de phishing recopilados, los documentos señuelo y las observaciones de incidentes, los objetivos parecen ser principalmente agencias gubernamentales, operadores y la industria energética en Filipinas, Corea del Sur, Vietnam, Taiwán y Tailandia”, dijo el investigador Ted. Lee, Siris Tseng, Pierre Lee, Sunny Lu y Philip Chen.
El descubrimiento de un documento señuelo escrito en chino simplificado sugiere que China también es uno de los países afectados, pero las empresas de ciberseguridad no están seguras de qué sectores dentro de China están siendo atacados. Dijo que no había información suficiente para tomar una decisión.
El proceso de cadena de infección de varios pasos aprovecha dos técnicas diferentes: correos electrónicos de phishing y explotación de la vulnerabilidad GeoServer (CVE-2024-36401, puntuación CVSS: 9,8), que culmina con Cobalt Strike, recopilación de información y carga útil. Distribuye una puerta trasera previamente desconocida. con nombre en código EAGLEDOOR que permite la distribución.
“Los actores de amenazas utilizan inyecciones de GrimResource y AppDomainManager para implementar cargas útiles adicionales con el fin de disuadir a las víctimas”, señalan los investigadores, y añaden que el primer método está integrado en archivos adjuntos ZIP. Añadió que se utilizó para descargar la siguiente etapa del malware a través de un. señuelo archivo MSC llamado RIPCOY.
Vale la pena mencionar aquí que la empresa japonesa de ciberseguridad NTT Security Holdings publicó recientemente detalles de un grupo de actividades vinculadas a APT41, dirigidas a organizaciones energéticas taiwanesas, filipinas y vietnamitas. Mencioné que utilicé los mismos dos métodos.
Comando Cobalt Strike y Dado el uso superpuesto de los dominios de control (C2), estos dos conjuntos de intrusión pueden estar relacionados.
El objetivo final del ataque es implementar una variante personalizada de Cobalt Strike que actúa como plataforma de lanzamiento para la puerta trasera EAGLEDOOR ('Eagle.dll') a través de la descarga de DLL.
El malware admite cuatro formas de comunicarse con el servidor C2 a través de DNS, HTTP, TCP y Telegram. Si bien los primeros tres protocolos se utilizan para transmitir el estado de la víctima, la funcionalidad principal se logra a través de la API de Telegram Bot, que carga y descarga archivos y ejecuta cargas útiles adicionales. Los datos recopilados se extraen a través de curl.exe.
“Earth Baxia, probablemente con sede en China, llevó a cabo sofisticadas campañas dirigidas a los gobiernos y sectores energéticos de múltiples países de Asia y el Pacífico”, señalaron los investigadores.
“Utilizaron técnicas avanzadas como la explotación de GeoServer, phishing y malware personalizado (Cobalt Strike y EAGLEDOOR) para infiltrar y exfiltrar datos. El uso de servicios de nube pública y el soporte multiprotocolo de EAGLEDOOR resaltan la complejidad y adaptabilidad de sus actividades”.
¿Te pareció interesante este artículo? sígueme Gorjeo Para leer más contenido exclusivo nuestro, visítenos en LinkedIn.
https://thehackernews.com/2024/09/chinese-hackers-exploit-geoserver-flaw.html
