GeoServer es un servidor de código abierto escrito en Java que permite a los usuarios compartir, procesar y editar datos geoespaciales.
Admite una variedad de formatos de datos y se integra con aplicaciones de mapeo populares como Google Maps y OpenLayers, lo que la convierte en una poderosa herramienta para mapeo web e infraestructura de datos espaciales.
Los investigadores de Trend Micro descubrieron recientemente que los piratas informáticos chinos están explotando activamente las vulnerabilidades para implementar malware EAGLEDOOR.
Vulnerabilidad de GeoServer EAGLEDOOR Malware
Earth Baxia, un grupo APT vinculado a China, se ha dirigido a agencias gubernamentales, telecomunicaciones y sectores energéticos en países de Asia y el Pacífico, incluidos Taiwán, Filipinas, Corea del Sur, Vietnam y Tailandia.
Únase a un panel virtual para conocer a los CISO y obtener más información sobre el cumplimiento: unirse es gratis
Sus vectores de ataque incluyeron un correo electrónico de phishing que contenía un archivo MSC malicioso (RIPCOY) y la explotación de la vulnerabilidad CVE-2024-36401 de GeoServer RCE.
La cadena de infección utilizó técnicas como 'AppDomainManager Inyección' y 'GrimResource' para descargar cargas útiles de servicios en la nube (AWS, Aliyun).
Cadena de ataque (Fuente: Trend Micro)
Earth Baxia implementó “componentes Cobalt Strike personalizados”, incluido un cargador de código shell llamado “SWORDLDR” y una nueva puerta trasera llamada “EAGLEDOOR”.
EAGLEDOOR admite múltiples protocolos de comunicación (DNS, HTTP, TCP, Telegram) y el cargador utiliza la descarga de DLL ('Systemsetting.dll' y 'Systemsetting.exe').
La funcionalidad de puerta trasera incluye enlace de API realizado a través de 'Hook.dll' y operaciones principales realizadas a través de 'Eagle.dll'.
Además de esto, aproveche la API Bot de Telegram para comando y control utilizando los siguientes métodos:
Obtener archivo Obtener actualizaciones Enviar documento Enviar mensaje
Aquí, los actores de amenazas utilizaron técnicas de ofuscación como Base64 y cifrado AES para evitar la detección y mantener la persistencia en los sistemas comprometidos.
Como parte del proceso de exfiltración del grupo, la información recopilada se archivó y los datos robados se cargaron en un servidor de archivos (152.42.243.170) usando 'curl.exe'.
Además, los métodos de acceso inicial eran diversos y utilizaban archivos 'MSC' y 'LNK' para entregar conjuntos de herramientas maliciosas.
Aquí, “Static.krislab.site” es uno de esos sitios y puede usar comandos de PowerShell para crear un “componente Cobalt Strike”, así como un “documento señuelo”.
Los investigadores demostraron adaptabilidad aprovechando los servicios de nube pública para alojar archivos maliciosos y aumentando la complejidad de las operaciones de EAGLEDOOR incorporando soporte “multiprotocolo”.
Recomendaciones
Todas las recomendaciones se enumeran a continuación.
Llevar a cabo capacitación continua para aumentar la concienciación sobre el phishing. Implemente una solución de protección en capas. Siempre practicaremos estrictas prácticas de ciberseguridad.
¿Es usted parte de un equipo SOC/DFIR? – Pruebe el análisis avanzado de malware y phishing con ANY.RUN – Prueba gratuita de 14 días
Chinese Hackers Exploiting GeoServer Vulnerability To Deploy EAGLEDOOR Malware