Исследователи из Trend Micro сообщили, что Earth Baxia, вероятно, базирующаяся в Китае группа постоянных угроз (APT), атаковала правительственные и энергетические сектора Тайваня и других стран Азиатско-Тихоокеанского региона (APAC) с помощью фишинговых писем и уязвимости в GeoServer (CVE-2024-36401).
Earth Baxia APT
Уязвимость, представляющая собой эксплойт для удаленного выполнения кода, позволяла злоумышленникам загружать и исполнять вредоносные компоненты в среде жертвы. Earth Baxia использовала адаптированную версию Cobalt Strike, которая содержала модифицированные сигнатуры для обхода обнаружения. Кроме того, они развернули новый бэкдор под названием EAGLEDOOR, который поддерживает множество коммуникационных протоколов, таких как HTTP, TCP и DNS, для утечки данных и контроля.
Цепочка атак начиналась с фишинговых писем, содержащих вредоносные вложения или ссылки. Эти письма обманом заставляли пользователей выполнить сценарий Visual Basic, который загружал дальнейшую полезную нагрузку с публичных облачных сервисов. Используя такие техники, как инъекция GrimResource и AppDomainManager, Earth Baxia устанавливала дополнительное вредоносное ПО, выполняя его непосредственно в памяти, чтобы избежать традиционных методов обнаружения. Злоумышленники размещали свои вредоносные файлы на облачных платформах, таких как Amazon Web Services и Aliyun, что позволяло им быстро заменять или обновлять полезную нагрузку.
Дальнейшее расследование кампании показало, что некоторые из задействованных серверов были расположены в Китае. Кроме того, многие компоненты атаки были отправлены на VirusTotal из Китая. Жертвами атаки стали в основном жители Тайваня, Филиппин, Южной Кореи, Таиланда и Вьетнама; по некоторым данным, пострадал и Китай. Использование Earth Baxia облачных сервисов и многоуровневых методов уклонения от атак затрудняет отслеживание их деятельности, подчеркивая изощренность их операций.
Уязвимость CVE-2024-36401 существует в версиях GeoServer до 2.23.6, 2.24.4 и 2.25.2. Эти версии уязвимы к удаленному выполнению кода (RCE) через несколько параметров запроса OGC. Неавторизованные пользователи могут использовать этот недостаток, отправляя на сервер специально сформированные входные данные, что приводит к выполнению произвольного кода. Уязвимость возникает из-за небезопасной оценки имен свойств в виде выражений XPath, которая затрагивает как сложные, так и простые типы характеристик. Эта проблема связана с тем, как библиотека GeoTools взаимодействует с библиотекой commons-jxpath. Подтверждено, что уязвимость можно использовать через такие запросы, как WFS GetFeature, WMS GetMap и WPS Execute. Исправления доступны в последних версиях GeoServer.
Indicators of Compromise
IPv4
- 152.42.243.170
- 167.172.84.142
- 167.172.89.142
- 188.166.252.85
Domains
- api.s2cloud-amazon.com
- ms1.hinet.lat
- msa.hinet.ink
- rocean.oca.pics
- static.krislab.site
- static.trendmicrotech.com
- status.s3cloud-azure.com
- us2.s3bucket-azure.online
SHA256
- 04b336c3bcfe027436f36dfc73a173c37c66288c7160651b11561b39ce2cd25e
- 061bcd5b34c7412c46a3acd100167336685a467d2cbcd1c67d183b90d0bf8de7
- 1c13e6b1f57de9aa10441f63f076b7b6bd6e73d180e70e6148b3e551260e31ee
- 1c26d79a841fdca70e50af712f4072fea2de7faf5875390a2ad6d29a43480458
- 1e6c661d6981c0fa56c011c29536e57d21545fd11205eddf9218269ddf53d448
- 4ad078a52abeced860ceb28ae99dda47424d362a90e1101d45c43e8e35dfd325
- 6be4dd9af27712f5ef6dc7d684e5ea07fa675b8cbed3094612a6696a40c664ce
- 916f3f4b895c8948b504cbf1beccb601ff7cc6e982d2ed375447bce6ecb41534
- 9b50e888aaec0e4d105a6f06db168a8a2dcf9ab1f9deeff4b7862463299ab1ca
- b3b8efcaf6b9491c00049292cdff8f53772438fde968073e73d767d51218d189
- c78a02fa928ed8f83bda56d4b269152074f512c2cb73d59b2029bfc50ac2b8bc
- cef0d2834613a3da4befa2f56ef91afc9ab82b1e6c510d2a619ed0c1364032b8
- d23dd576f7a44df0d44fca6652897e4de751fdb0becc6b14b754ac9aafc9081c
- d3c1ada67f9fe46dfb11f72c1754667d2ccd0026d48d37b61192e3d0ef369b84
- e9854ab68dad0a744925118bfae4ec6ce9c4b7727e2ad6763aa50b923991de95
